[imprimir] [trackback][fecha] 09/02/2008 18:13:32

DDoS contra menéame

Me he encontrado un hilo bastante largo en una lista de correo acerca de este tema, pero además lo comentan en el blog oficial de menéame. Toda la situación se hace un poco increible, ¿verdad?

Aunque en la anotación indicada se explica muy bien, lo resumo: alguien emplea, supuestamente, una red de bots (máquinas que se controlan remotamente sin que lo conozca su propietario) para realizar un ataque distribuido de denegación de servicio, y se pide un rescate para que cese el ataque.

¿Qué es una denegación de servicio? Pues se trata de consumir los recursos de la víctima hasta que el servidor queda exhausto, porque se agota uno de los recursos limitados de la máquina que está sirviendo (ancho de banda o memoria, por ejemplo; aunque hay más). De esta forma el servicio deja de poder satisfacer peticiones legítimas.

Al hacerse de forma distribuida, no se puede identificar la fuente y neutralizarla, porque el ataque se realiza desde diferentes máquinas simultáneamente, con lo que es más difícil contrarrestar el ataque.

Han publicado algunas IPs de los atacantes, y un par de cosas que me llaman la atención.

De acuerdo que es una muestra muy pequeña, pero podemos suponer hasta cierto punto que es aleatoria. Si tenemos en cuenta esto, no encontramos varias máquinas que presumiblemente disponen de mucho ancho de banda (un ministerio, un instituto educativo :o), y la distribución por paises de origen es la siguiente:

Distribución de atacantes

Donde destaca el papel de Taiwán, por encima de otros paises.

Supongo que se pueden sacar más conclusiones, con más datos y dedicándole un rato... aunque imagino que hay investigaciones en marcha sobre todo este asunto.

Lo más curioso sería comprobar cuántas de estas máquinas corren un sistema privativo muy amigable con el usuario y por supuesto muy fácil de usar.

Que no digo que no puedan caer máquinas con otros sistemas en estas redes, pero sospecho que es más fácil en unas que en otras, y con conexiones residenciales cada vez más potentes, no resulta difícil pensar que nos podemos encontrar con más casos MafiaBoy.

Actualización: Parece que no se trata de una botnet típica, sino que explotaban fallos conocidos en dos aplicaciones web, usando así servidores vulnerables para llevar a cabo el ataque. Queda saciada mi curiosidad :D.


← Campañas electorales
¿Aguantar la portada de Digg con 25MHz? →
Publicidad

Aviso: Los siguientes comentarios pertenecen a las personas que los han enviado.
El administrador de este sitio web no es responsable de los mismos.

[comentarios] Hay 4 comentarios:

Gravatar
09/02/2008 21:27:21
ddos
por un visitante (IP: 87.221.20.*)
Comentario de un visitante
te podría comentar cuantos ordenadores con windows atacan diariamente servidores y demás. Lo sé por un administrador amigo y mío y los datos son espeluznantes.
Gravatar
11/02/2008 15:05:09
Uhmm
por corsaria (IP: 83.97.245.*)
Comentario de corsaria
La forma de identificar los posibles atacantes, al margen de ver los que más tráfico envían o hacia que servicios apuntan podría ser examinar los logs de varios sitios atacados y cruzar los datos de los visitantes. Una vez descartados los legítimos podrían sacarse algunas conclusiones.

:)
Gravatar
11/02/2008 15:11:30
Investigaciones
por Juanjo (IP: 192.168.0.*)
Comentario de Juanjo
Las cosas van bastante avanzadas en lo que se refiere a las investigaciones... no ha sido difícil (y Ricardo es muy administrador de sus sistemas XDDD):

http://fon.gs/investigacion/
(De ciberdelincuentes y el mundo es pequeño, en el blog de Ricardo)
Gravatar
11/02/2008 17:07:20
Je, je.
por corsaria (IP: 83.97.245.*)
Comentario de corsaria
Lo he leído jeje. Ricardo Style. ;)

! Esta entrada no permite nuevos comentarios.

Los comentarios se bloquean automáticamente tras 15 días desde la publicación del artículo.

Si deseas comentar algo relacionado con el texto, puedes enviarme un e-mail.