28 marzo 2013


¿Has notado que algunas páginas web funcionaban más lentas estos días, especialmente si vives en Londres? Pues yo no, pero dicen que sí. Algunas de las fuentes que lo aseguran tienen intereses comerciales en exagerar el caso, pero no es a lo que vamos.

Lo que vamos a ver es qué pasó entre CyberBunker y Spamhaus y el que algunos ya califican como el mayor ataque DDoS de la historia.

Qué ha sucedido

Hace poco más de una semana, el 18 de marzo, Spamhaus, servicio líder en la lucha contra el spam, se puso en contacto con CloudFlare, un CDN (servicio de distribución de contenidos) especializado en mitigar ataques, para pedirles ayuda con un ataque DDoS que estaban recibiendo, por aquel entonces de 10 Gb/s. A partir de ese momento, CloudFlare pasó a recibir las peticiones dirigidas a Spamhaus, pudiendo mitigar el ataque inicial a través de su red de anycast.

Según CloudFlare, el ataque inicial fue de unos 75 Gb/s, que entra dentro de lo que su red y su plan de tarifas con sus proveedores Tier-2 prevé y no necesitaron tomar ninguna medida especial para mitigarlo, así que se dedicaron a «dejarlo estar y ver qué podían aprender».
Pero en vista de que el ataque dejaba de tener efecto, los atacantes fueron subiendo la intensidad, lo que a su vez fue provocando que las consecuencias del ataque fuesen escalando niveles. A medida que el ataque subía a 120 Gb/s el día 22 hasta llegar finalmente a 300 Gb/s (siempre según datos de CloudFlare) las consecuencias empezaban a notarse en el Tier-2 e incluso en el Tier-1.

Además de aumentar de intensidad, el ataque empezó a diversificar también sus objetivos apuntando hacia los puntos neutros. Los puntos neutros son puntos de interconexión entre distintas redes. Si consiguen tirar un punto neutro, o incluso si consiguiesen tirar un Tier, las consecuencias podrían ser más que notables. Por suerte, parece que «solo» consiguieron congestionar el punto neutro de Londres en algún momento, al parecer, debido a una configuración demasiado permisiva del punto neutro. Otros puntos neutros atacados fueron los de Amsterdam, Fráncfort y Hong Kong. ESPANIX es el punto neutro de España, que se encuentra en Madrid y por lo visto no ha sido atacado o no de forma notable.

Hay que tener en cuenta que hasta aquí son datos proporcionados por CloudFlare, que es la empresa contratada por Spamhaus para mitigar el ataque y por lo tanto podría tener intereses comerciales en exagerarlo. Aunque McAfee reconoce que sí que es posible que los usuarios particulares se hayan visto afectados.

Ahora vamos a una parte que para mí es algo más interesante, el porqué.

¿Quién está detrás del ataque y cuál es su motivación?

Bueno, teniendo en cuenta que Spamhaus es la organización que administra las listas negras de spammers más populares, no es difícil encontrarles enemigos. Especialmente teniendo en cuenta que los spammers no suelen ser las personas más diplomáticas cuando se les cabrea.

Una organización implicada en turbios negocios con la que Spamhaus no tiene precisamente una relación muy cordial es CyberBunker.

CyberBunker es un data haven o paraíso de datos. Sí, el término proviene de una analogía con los paraísos fiscales, pues los data haven son servidores que alojarán tus datos sin reparar en la condición legal de los mismos, el único pero que pone CyberBunker es a la pornografía infantil o el terrorismo, fuera de eso, lo que quieras.
El nombre de CyberBunker también tiene su explicación y es que su datacenter es un antiguo refugio nuclear de la OTAN en Holanda y en su página web se jactan de haber sido capaces de resistir un intento de redada por parte de los SWAT.

Entre los clientes más famosos de CyberBunker se encuentran The Pirate Bay, que en un principio no tendría que tener problemas con Spamhaus, y la Russian Business Network.
La Russian Business Network, definida por la empresa de seguridad VeriSign como «lo peor de lo peor», es una potente organización de cibercrimen oficialmente desarticulada por el FBI, aunque realmente es difícil definir si se ha disuelto o no al no ser un grupo legalmente constituido y se cree que sigue en activo desde China con un perfil de actividad más bajo. Algo así como los GRAPO de Internet, vaya.

Entre sus líneas de negocio, la más exitosa fue una con la que seguro que nos hemos encontrado alguna vez: los falsos antivirus que te alertaban de imaginarias amenazas que habían infectado tu ordenador para instarte a comprar la versión de pago que te desinfectaría, cuando lo que en realidad hacía esa versión de pago era instalarte un troyano. Sí, les estabas pagando para que te instalaran un troyano, los de RBN se lo habían montado bien, aunque no dejaba de resultar gracioso cuando estabas en Linux y te salía una ventana del navegador imitando a la de Windows XP diciéndote que tenías un virus en C:\WINDOWS\System32


Pero además, RBN también vendía servicios de spam, lo que acabó llevando a que al final se las tuvieran que ver con Spamhaus. Y Spamhaus, claro, por mucho que solicitara a CyberBunker que le cerraran el grifo a RBN, no tenían pensado hacerlo porque eso iría en contra de su política de «(casi) todo vale». Así que Spamhaus se fue al siguiente nivel decidió incluir a CyberBunker como organización proveedora de servicios de spam y acudió al carrier de CyberBunker, A2B, para que les cerraran el grifo. A2B tampoco cedió y finalmente Spamhaus incluyó a todo A2B en su lista negra como medida de presión, por lo que A2B acabó cediendo y desenchufó a CyberBunker, aunque posteriormente inició un pleito contra Spamhaus por extorsión.

La cosa parecía que había quedado en el olvido y todo volvió a la situación inicial, hasta este mes de marzo en el que Spamhaus volvió a incluir a CyberBunker en su lista negra y poco después empezó el ataque DDoS. Por si todavía teníamos alguna sombra de duda de que detrás del ataque estaba CyberBunker, The New York Times ha citado a un portavoz afirmando que sí, que son ellos y lo hacen como represalia. Posteriormente diría en Facebook que sus palabras habían sido manipuladas y que CyberBunker no estaba detrás de los ataques. En cualquier caso, más tarde, el máximo responsable de CyberBunker acabaría reconociendo en una entrevista a Russia Today que sí que habían atacado a Spamhaus.

Y ahora vamos con la parte que más nos interesa, ¿verdad? Cómo lo han hecho.

Cómo se hizo el ataque a Spamhaus

El ataque ha sido un tipo de ataque smurf conocido como amplificación DNS. Los ataques smurf, palabra con la que son conocidos en inglés los pitufos, son un tipo de ataque en el que enviando una pequeña cantidad de tráfico consigues que llegue mucho más tráfico a la víctima. El ejemplo típico es aquel en el que quieres atacar un equipo de tu misma red y para llevarlo a cabo haces ping a la dirección de broadcast haciendo spoofing de la dirección IP de origen para que las respuestas vayan dirigidas a tu víctima. Así, si en tu red hay conectados 10 equipos y envias un paquete ICMP request a la dirección de broadcast con la dirección IP de la víctima, esta recibirá 10 respuestas ICMP reply. Si repetimos esta operación 1.000 veces, la víctima recibirá 10.000 paquetes. Este es el ejemplo más simple de ataque smurf que hoy en día ya no es útil, empezando por el hecho de que muchos equipos ya no responden a los pings broadcast.
Hay que tener en cuenta que el tipo de paquete que se use para este ataque tiene que ser ICMP, UDP o cualquier otro protocólo no orientado a estado y sin handshake. No se podría usar TCP porque los paquetes mantienen información sobre el estado de la conexión y para establecer una conexión es necesario llevar a cabo el handshake SYN-SYN/ACK-ACK.

En el caso de amplificación DNS, el smurfing se consigue fácilmente ya que una petición de unos pocos bytes puede llegar a originar una respuesta de varios kilobytes.

Un ejemplo de una petición de 38 bytes que genera una respuesta de 7129 bytes:



Aunque para respuestas demasiado grandes el protocolo DNS suele funcionar por TCP y no por UDP, vamos a obviar este detalle por comodidad y teóricamente vamos a asumir que la comunicación se hace por UDP y entonces podemos falsificar la dirección del remitente y hacer que las respuestas lleguen a la víctima. Así, si repetimos la operación 10.000 veces, conseguiremos que a la víctima le llegue un tráfico de 70 MB habiendo generado nosotros sólo 380 KB.

Si además tenemos en cuenta que hay miles de servidores DNS públicos que aceptan peticiones desde cualquier origen, tendremos toda una botnet pública a nuestra disposición para lanzar el ataque.
Cuando CloudFlare publicó su primer informe, antes de que el ataque se multiplicara por cuatro, llegaron a detectar ataques desde 30.000 servidores DNS distintos, aunque Open DNS Resolver Project dice que hay hasta 25 millones de servidores potencialmente vulnerables.

¿Cómo protegerte de este ataque? Difícilmente, ya que no es un fallo en tu red ni en tu software, el fallo está en equipos ajenos (y en el diseño inicial de Internet y el DNS basados en gran parte en la buena fe) repartidos por todo el mundo que permiten ser usados como equipos zombies para un ataque. Además, los equipos zombies que se están usando no es una modesta botnet construida con equipos domésticos infectados y con una conexión ADSL, son miles de servidores con conexiones de alta capacidad.

Las principales medidas contra el ataque las tiene que poner los servidores DNS vulnerables y son dos que están explicadas con más detalle en Open DNS Resolver Project:
  • Limitar el acceso al DNS. Si no es posible bloquear el acceso desde el exterior, limitar al menos la frecuencia de peticiones por IP.
  • Implementar técnicas de bloqueo de spoofing como BCP-38.
Artículo cortesía de Jesús Pérez 

7 comments :

DZPM dijo...

¿Que casi se lleva a medio internet por delante? Discrepo:
http://gizmodo.com/5992652/that-internet-war-apocalypse-is-a-lie

Car dijo...

Los DDos han sido de toda la vida ataques para joder al prójimo con la ley del "mínimo esfuerzo" son ataques cobardes desde mi punto de vista puesto que no solo afecta al objetivo si no que también caen otros muchos que no tienen nada que ver, seria como poner una bomba con mucha metralla (mas o menos), en fin por otro lado decir que yo al menos no he tenido problemas en mi conexión, saludos.

Silky dijo...

Estoy intentando ver la web de ciberbunker y parece que esta caída....

Sandra dijo...

Si los ISP controlaran lo que pasa en sus redes,..

No deberían los ISP prevenir que cualquier paquete con una dirección IP no legítima de su red salga hacia otras redes?



A ver si alguien puede responderme :S

Miguel dijo...

Joder,podrian hacer una pelicula con la historia

Patricio Perez dijo...

Cloudfare tambien ha sufrido ataque por respaldar a spamhaus. Incluso los clientes de 000webhosting se han quejado en masa por problemas en la conexion.

Vean este link: http://blog.cloudflare.com/patching-the-internet-fixing-the-wordpress-br

Carmelo dijo...

Me encanta la parte en la que dice "vamos a obviar este detalle por comodidad y teóricamente vamos a asumir que la comunicación se hace por UDP"