9 de Febrero, 2008

DDoS contra menéame

Me he encontrado un hilo bastante largo en una lista de correo acerca de este tema, pero además lo comentan en el blog oficial de menéame. Toda la situación se hace un poco increible, ¿verdad?

Aunque en la anotación indicada se explica muy bien, lo resumo: alguien emplea, supuestamente, una red de bots (máquinas que se controlan remotamente sin que lo conozca su propietario) para realizar un ataque distribuido de denegación de servicio, y se pide un rescate para que cese el ataque.

¿Qué es una denegación de servicio? Pues se trata de consumir los recursos de la víctima hasta que el servidor queda exhausto, porque se agota uno de los recursos limitados de la máquina que está sirviendo (ancho de banda o memoria, por ejemplo; aunque hay más). De esta forma el servicio deja de poder satisfacer peticiones legítimas.

Al hacerse de forma distribuida, no se puede identificar la fuente y neutralizarla, porque el ataque se realiza desde diferentes máquinas simultáneamente, con lo que es más difícil contrarrestar el ataque.

Han publicado algunas IPs de los atacantes, y un par de cosas que me llaman la atención.

De acuerdo que es una muestra muy pequeña, pero podemos suponer hasta cierto punto que es aleatoria. Si tenemos en cuenta esto, no encontramos varias máquinas que presumiblemente disponen de mucho ancho de banda (un ministerio, un instituto educativo :o), y la distribución por paises de origen es la siguiente:

Distribución de atacantes

Donde destaca el papel de Taiwán, por encima de otros paises.

Supongo que se pueden sacar más conclusiones, con más datos y dedicándole un rato... aunque imagino que hay investigaciones en marcha sobre todo este asunto.

Lo más curioso sería comprobar cuántas de estas máquinas corren un sistema privativo muy amigable con el usuario y por supuesto muy fácil de usar.

Que no digo que no puedan caer máquinas con otros sistemas en estas redes, pero sospecho que es más fácil en unas que en otras, y con conexiones residenciales cada vez más potentes, no resulta difícil pensar que nos podemos encontrar con más casos MafiaBoy.

Actualización: Parece que no se trata de una botnet típica, sino que explotaban fallos conocidos en dos aplicaciones web, usando así servidores vulnerables para llevar a cabo el ataque. Queda saciada mi curiosidad :D.

Anotación por Juan J. Martínez, clasificada en: meneame, networking.

Hay 4 comentarios

Gravatar

te podría comentar cuantos ordenadores con windows atacan diariamente servidores y demás. Lo sé por un administrador amigo y mío y los datos son espeluznantes.

por un visitante, en 2008-02-09 21:27:21

Gravatar

La forma de identificar los posibles atacantes, al margen de ver los que más tráfico envían o hacia que servicios apuntan podría ser examinar los logs de varios sitios atacados y cruzar los datos de los visitantes. Una vez descartados los legítimos podrían sacarse algunas conclusiones.

:)

por corsaria, en 2008-02-11 15:05:09

Gravatar

Las cosas van bastante avanzadas en lo que se refiere a las investigaciones... no ha sido difícil (y Ricardo es muy administrador de sus sistemas XDDD):

http://fon.gs/investigacion/
(De ciberdelincuentes y el mundo es pequeño, en el blog de Ricardo)

por Juanjo, en 2008-02-11 15:11:30

Gravatar

Lo he leído jeje. Ricardo Style. ;)

por corsaria, en 2008-02-11 17:07:20

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.

Algunas anotaciones relacionadas: