Resultados 1 al 5 de 5

Enorme ataque DDoS hace más lenta la Internet en Europa

  1. #1 Enorme ataque DDoS hace más lenta la Internet en Europa 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    Internet en el mundo se puso más lento en Europa gracias a lo que expertos en seguridad están llamando el “mayor ciberataque de la historia”, asunto que está teniendo repercusiones en múltiples servicios, que demoran más de lo normal en cargar, y que según expertos podría afectar a sistemas bancarios y de correo electrónico.

    El ataque está siendo investigado por ciber-policías de varios países.

    Por si hacen falta más datos, el diario El Mundo alerta que la velocidad de Internet se ha visto disminuida debido al conflicto entre Spamhaus y Cyberbunker, llegando a afectar a servicios tan populares como Netflix.

    El asunto comenzó con las acciones de una organización sin fines de lucro llamada Spamhaus, dedicada a ayudar a los proveedores de correo electrónico a filtrar spam y correos no deseados. Para hacer esto, mantiene una lista de bloqueo, es decir, una base de datos de servidores que se sabe que están siendo usados para enviar correo basura.

    Recientemente, Spamhaus agregó a su lista algunos servidores mantenidos por Cyberbunker, un proveedor de hosting holandés que asegura que almacena lo que sea, excepto pornografía infantil o material terrorista. Un vocero de Cyberbunker, Sven Olaf Kamphius, declaró al New York Times que Spamhaus estaba abusando de su rol al incluirlos en su lista anti-spam y que no debía permitírsele decidir qué va y qué no va en Internet. En definitiva, que servicios como Cyberbunker deberían tener permiso para hacer spam.

    Acto seguido, Spamhaus comenzó a recibir un gigantesco ataque de denegación de servicio (DDoS) en “venganza”, que superó todos los récords conocidos hasta el momento, generando tráfico de hasta 300 Gbps, de acuerdo al periódico. Un ataque típico normalmente es cinco veces menor.
    Amplificación de DNS

    Para lograr ese enorme tráfico, que colapsa las redes en Internet afectando de paso a otros servicios, los atacantes utilizaron una táctica conocida como “amplificación de DNS”.

    Como se sabe, los servidores DNS son los directorios que traducen un nombre de dominio, como fayerwayer.com a una dirección IP como 54.243.163.47. Los servidores DNS también reciben peticiones para encontrar a determinados dominios. Cuando un servidor abierto recibe una solicitud para un dominio para el cual no tiene autoridad, escala la petición al servidor raíz, para intentar encontrar la dirección del servidor DNS al que se le puede realizar la petición. La solicitud puede dar varios saltos por diferentes servidores hasta llegar al origen.

    Los atacantes aprovechan este comportamiento del servidor DNS para falsificar una solicitud, usando como dirección de origen la IP del sitio al que quieren atacar. De este modo, todos los servidores DNS a los que se les envíe la consulta falsificada, responderán contactando a la IP que aparece en los datos, amplificando el ataque e inundando con solicitudes a un sitio específico. A través de este ataque, una solicitud que necesita muy poco ancho de banda para enviarse, se magnifica múltiples veces aumentando el tráfico hasta 70 veces al sitio que se está atacando.

    De esta manera, Spamhaus comenzó a recibir paquetes basura desde servidores DNS en todo el mundo. Este tipo de ataques no se puede detener fácilmente, porque no puedes simplemente apagar un servidor de DNS – si lo haces, parte de Internet se queda sin funcionar. Esas máquinas deben estar abiertas públicamente para que Internet funcione, de modo que la única manera de detener el ataque es detener a las personas que lo lanzan.

    El CEO de Spamhaus, Steve Linford, declaró a la BBC que el ataque se ha mantenido por más de una semana, aunque parte ya se pudo controlar gracias a la ayuda a Cloudflare, que explicó algunos detalles del ataque en un post.

    Esta vulnerabilidad de los servidores DNS lleva mucho tiempo de existencia, pero hasta ahora no había sido explotada tan masivamente. Así, si bien el ataque comenzó hace más de una semana y la organización logró superar el shock inicial para continuar funcionando, el DDoS sigue adelante y no está claro cuándo irá a detenerse. De todos modos, se pone en relevancia una vulnerabilidad que necesita ser reparada para evitar que se repita.



    Links:
    - Online dispute becomes internet-snarling attack (NYTimes)
    - Global internet slows after “biggest attack in history” (BBC)
    - How whitehats stopped the DDoS attack that knocked Spamhaus offline (Ars Technica)
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2 Cómo CyberBunker atacó a Spamhaus y casi se llevó a medio Internet por delante 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    A continuación, una explicación mas detallada de lo que paso redactada por Jesús Pérez en SbD:


    ¿Has notado que algunas páginas web funcionaban más lentas estos días, especialmente si vives en Londres? Pues yo no, pero dicen que sí. Algunas de las fuentes que lo aseguran tienen intereses comerciales en exagerar el caso, pero no es a lo que vamos.

    Lo que vamos a ver es qué pasó entre CyberBunker y Spamhaus y el que algunos ya califican como el mayor ataque DDoS de la historia.

    Qué ha sucedido

    Hace poco más de una semana, el 18 de marzo, Spamhaus, servicio líder en la lucha contra el spam, se puso en contacto con CloudFlare, un CDN (servicio de distribución de contenidos) especializado en mitigar ataques, para pedirles ayuda con un ataque DDoS que estaban recibiendo, por aquel entonces de 10 Gb/s. A partir de ese momento, CloudFlare pasó a recibir las peticiones dirigidas a Spamhaus, pudiendo mitigar el ataque inicial a través de su red de anycast.

    Según CloudFlare, el ataque inicial fue de unos 75 Gb/s, que entra dentro de lo que su red y su plan de tarifas con sus proveedores Tier-2 prevé y no necesitaron tomar ninguna medida especial para mitigarlo, así que se dedicaron a «dejarlo estar y ver qué podían aprender».
    Pero en vista de que el ataque dejaba de tener efecto, los atacantes fueron subiendo la intensidad, lo que a su vez fue provocando que las consecuencias del ataque fuesen escalando niveles. A medida que el ataque subía a 120 Gb/s el día 22 hasta llegar finalmente a 300 Gb/s (siempre según datos de CloudFlare) las consecuencias empezaban a notarse en el Tier-2 e incluso en el Tier-1.

    Además de aumentar de intensidad, el ataque empezó a diversificar también sus objetivos apuntando hacia los puntos neutros. Los puntos neutros son puntos de interconexión entre distintas redes. Si consiguen tirar un punto neutro, o incluso si consiguiesen tirar un Tier, las consecuencias podrían ser más que notables. Por suerte, parece que «solo» consiguieron congestionar el punto neutro de Londres en algún momento, al parecer, debido a una configuración demasiado permisiva del punto neutro. Otros puntos neutros atacados fueron los de Amsterdam, Fráncfort y Hong Kong. ESPANIX es el punto neutro de España, que se encuentra en Madrid y por lo visto no ha sido atacado o no de forma notable.

    Hay que tener en cuenta que hasta aquí son datos proporcionados por CloudFlare, que es la empresa contratada por Spamhaus para mitigar el ataque y por lo tanto podría tener intereses comerciales en exagerarlo. Aunque McAfee reconoce que sí que es posible que los usuarios particulares se hayan visto afectados.

    Ahora vamos a una parte que para mí es algo más interesante, el porqué.

    ¿Quién está detrás del ataque y cuál es su motivación?

    Bueno, teniendo en cuenta que Spamhaus es la organización que administra las listas negras de spammers más populares, no es difícil encontrarles enemigos. Especialmente teniendo en cuenta que los spammers no suelen ser las personas más diplomáticas cuando se les cabrea.

    Una organización implicada en turbios negocios con la que Spamhaus no tiene precisamente una relación muy cordial es CyberBunker.

    CyberBunker es un data haven o paraíso de datos. Sí, el término proviene de una analogía con los paraísos fiscales, pues los data haven son servidores que alojarán tus datos sin reparar en la condición legal de los mismos, el único pero que pone CyberBunker es a la pornografía infantil o el terrorismo, fuera de eso, lo que quieras.
    El nombre de CyberBunker también tiene su explicación y es que su datacenter es un antiguo refugio nuclear de la OTAN en Holanda y en su página web se jactan de haber sido capaces de resistir un intento de redada por parte de los SWAT.

    Entre los clientes más famosos de CyberBunker se encuentran The Pirate Bay, que en un principio no tendría que tener problemas con Spamhaus, y la Russian Business Network.
    La Russian Business Network, definida por la empresa de seguridad VeriSign como «lo peor de lo peor», es una potente organización de cibercrimen oficialmente desarticulada por el FBI, aunque realmente es difícil definir si se ha disuelto o no al no ser un grupo legalmente constituido y se cree que sigue en activo desde China con un perfil de actividad más bajo. Algo así como los GRAPO de Internet, vaya.


    Entre sus líneas de negocio, la más exitosa fue una con la que seguro que nos hemos encontrado alguna vez: los falsos antivirus que te alertaban de imaginarias amenazas que habían infectado tu ordenador para instarte a comprar la versión de pago que te desinfectaría, cuando lo que en realidad hacía esa versión de pago era instalarte un troyano. Sí, les estabas pagando para que te instalaran un troyano, los de RBN se lo habían montado bien, aunque no dejaba de resultar gracioso cuando estabas en Linux y te salía una ventana del navegador imitando a la de Windows XP diciéndote que tenías un virus en C:\WINDOWS\System32






    Pero además, RBN también vendía servicios de spam, lo que acabó llevando a que al final se las tuvieran que ver con Spamhaus. Y Spamhaus, claro, por mucho que solicitara a CyberBunker que le cerraran el grifo a RBN, no tenían pensado hacerlo porque eso iría en contra de su política de «(casi) todo vale». Así que Spamhaus se fue al siguiente nivel decidió incluir a CyberBunker como organización proveedora de servicios de spam y acudió al carrier de CyberBunker, A2B, para que les cerraran el grifo. A2B tampoco cedió y finalmente Spamhaus incluyó a todo A2B en su lista negra como medida de presión, por lo que A2B acabó cediendo y desenchufó a CyberBunker, aunque posteriormente inició un pleito contra Spamhaus por extorsión

    La cosa parecía que había quedado en el olvido y todo volvió a la situación inicial, hasta este mes de marzo en el que Spamhaus volvió a incluir a CyberBunker en su lista negra y poco después empezó el ataque DDoS. Por si todavía teníamos alguna sombra de duda de que detrás del ataque estaba CyberBunker, The New York Times ha citado a un portavoz afirmando que sí, que son ellos y lo hacen como represalia. Posteriormente diría en Facebook que sus palabras habían sido manipuladas y que CyberBunker no estaba detrás de los ataques. En cualquier caso, más tarde, el máximo responsable de CyberBunker acabaría reconociendo en una entrevista a Russia Today que sí que habían atacado a Spamhaus.

    Y ahora vamos con la parte que más nos interesa, ¿verdad? Cómo lo han hecho.


    Cómo se hizo el ataque a Spamhaus

    El ataque ha sido un tipo de ataque smurf conocido como amplificación DNS. Los ataques smurf, palabra con la que son conocidos en inglés los pitufos, son un tipo de ataque en el que enviando una pequeña cantidad de tráfico consigues que llegue mucho más tráfico a la víctima. El ejemplo típico es aquel en el que quieres atacar un equipo de tu misma red y para llevarlo a cabo haces ping a la dirección de broadcast haciendo spoofing de la dirección IP de origen para que las respuestas vayan dirigidas a tu víctima. Así, si en tu red hay conectados 10 equipos y envias un paquete ICMP request a la dirección de broadcast con la dirección IP de la víctima, esta recibirá 10 respuestas ICMP reply. Si repetimos esta operación 1.000 veces, la víctima recibirá 10.000 paquetes. Este es el ejemplo más simple de ataque smurf que hoy en día ya no es útil, empezando por el hecho de que muchos equipos ya no responden a los pings broadcast.

    Hay que tener en cuenta que el tipo de paquete que se use para este ataque tiene que ser ICMP, UDP o cualquier otro protocólo no orientado a estado y sin handshake. No se podría usar TCP porque los paquetes mantienen información sobre el estado de la conexión y para establecer una conexión es necesario llevar a cabo el handshake SYN-SYN/ACK-ACK.

    En el caso de amplificación DNS, el smurfing se consigue fácilmente ya que una petición de unos pocos bytes puede llegar a originar una respuesta de varios kilobytes.

    Un ejemplo de una petición de 38 bytes que genera una respuesta de 7129 bytes:


    Código:
    1. # dig AXFR fsf.org @ns1.gnu.org
    2. ; <<>> DiG 9.9.2 <<>> AXFR fsf.org @ns1.gnu.org
    3. ;; global options: +cmd
    4. fsf.org. 300 IN SOA ns1.gnu.org. hostmaster.gnu.org. 2941143631 3600 300 3600000 3600
    5. fsf.org. 300 IN SSHFP 1 1 DC991327D1B7B418F14CE737B934AA56C389E688
    6. fsf.org. 300 IN NS ns1.gnu.org.
    7. fsf.org. 300 IN NS ns2.gnu.org.
    8. fsf.org. 300 IN NS ns3.gnu.org.
    9. fsf.org. 300 IN A 208.118.235.131
    10. fsf.org. 300 IN MX 10 mail.fsf.org.
    11. fsf.org. 300 IN TXT "v=spf1 redirect=gnu.org"
    12. 20120905-shop.fsf.org. 300 IN A 208.118.235.166
    13. 20121109-crm.fsf.org. 300 IN A 18.4.89.43
    14. 20121121-gtd.fsf.org. 300 IN A 18.4.89.44
    15. 20121211-shop.fsf.org. 300 IN A 18.4.89.45
    16. 20130326-rmstalk.fsf.org. 300 IN A 18.4.89.47
    17. _jabber._tcp.fsf.org. 300 IN SRV 0 0 5269 jabber.fsf.org.
    18. _xmpp-client._tcp.fsf.org. 300 IN SRV 0 0 5222 jabber.fsf.org.
    19. _xmpp-server._tcp.fsf.org. 300 IN SRV 0 0 5269 jabber.fsf.org.
    20. _iax._udp.fsf.org. 300 IN SRV 0 0 4569 watson.fsf.org.
    21. _sip._udp.fsf.org. 300 IN SRV 0 0 5060 watson.fsf.org.
    22. agia.fsf.org. 300 IN SSHFP 1 1 5FB1892287CD94E8F93D1AFD1022FA023C99C59E
    23. agia.fsf.org. 300 IN A 208.118.235.42
    24. agilus.fsf.org. 300 IN SSHFP 1 1 5FB1892287CD94E8F93D1AFD1022FA023C99C59E
    25. agilus.fsf.org. 300 IN A 208.118.235.40
    26. agpl.fsf.org. 300 IN A 208.118.235.30
    27. airhorn.fsf.org. 300 IN SSHFP 1 1 312D246983E4A1A30C305E74BF63B66B870F1828
    28. airhorn.fsf.org. 300 IN A 18.4.89.38
    29. ar.fsf.org. 300 IN CNAME fsf.org.
    30. archive.fsf.org. 300 IN SSHFP 1 1 CEE042FBDD9D25E0B908E97BA062DE15B5E8F3D0
    31. archive.fsf.org. 300 IN A 140.186.70.49
    32. autoconfig.fsf.org. 300 IN A 208.118.235.30
    33. badvista.fsf.org. 300 IN CNAME www.badvista.org.
    34. balance.fsf.org. 300 IN SSHFP 1 1 73C986274EC452C87322CCB74A298B2F953A1B25
    35. balance.fsf.org. 300 IN A 208.118.235.84
    36. beeblebrox.fsf.org. 300 IN SSHFP 1 1 92480D5F8EF347C606466C201AED4E65470F48E1
    37. beeblebrox.fsf.org. 300 IN A 208.118.235.156
    38. bitcoin.fsf.org. 300 IN SSHFP 1 1 4BE26E7576FF9E44A2D5414E3BB9ACE3D69A8D06
    39. bitcoin.fsf.org. 300 IN A 208.118.235.153
    40. blacklist.fsf.org. 300 IN A 208.118.235.31
    41. blag.fsf.org. 300 IN SSHFP 1 1 8E523AD73730542A83D6530F5AF3025B2B13178D
    42. blag.fsf.org. 300 IN A 140.186.70.66
    43. brains.fsf.org. 300 IN SSHFP 1 1 5C7214CFE98BEB5DC7B20029571CA60E33ECC20D
    44. brains.fsf.org. 300 IN A 208.118.235.83
    45. campaigns.fsf.org. 300 IN CNAME lists.fsf.org.
    46. cas.fsf.org. 300 IN SSHFP 1 1 58B2946B30E326D659DFDB541EEFFF869EF1B6FA
    47. cas.fsf.org. 300 IN A 208.118.235.81
    48. catalyst.fsf.org. 300 IN SSHFP 1 1 AD29EC9C580C06EDA3760E9BA0430A676752739E
    49. cloud9.fsf.org. 300 IN SSHFP 1 1 6DB8E73FB19C2B9A49359499A5D73CD1F2CB4C46
    50. cloud9.fsf.org. 300 IN A 208.118.235.65
    51. colonialone.fsf.org. 300 IN SSHFP 1 1 A2E0072040D638AA2A6E6844DBABB2DEB1B299DA
    52. colonialone.fsf.org. 300 IN A 140.186.70.51
    53. columbia.fsf.org. 300 IN SSHFP 1 1 1B65AF17A1E081C918AD086F12FDAD7797C5E858
    54. columbia.fsf.org. 300 IN A 18.4.89.21
    55. conference.fsf.org. 300 IN CNAME jabber.fsf.org.
    56. config.fsf.org. 300 IN SSHFP 1 1 F4F57783AAFD0280DD50E61AF369644BBE09A60C
    57. config.fsf.org. 300 IN A 18.4.89.41
    58. crm.fsf.org. 300 IN SSHFP 1 1 9AA6ED947AF2C56AE4C04BA7E952985CAD7E2BF0
    59. crm.fsf.org. 300 IN A 208.118.235.96
    60. crm-dev.fsf.org. 300 IN SSHFP 1 1 54F1F6A8874FE27905BD2E24A724CFB59F0FA330
    61. crm-dev.fsf.org. 300 IN SSHFP 1 1 9AA6ED947AF2C56AE4C04BA7E952985CAD7E2BF0
    62. crm-dev.fsf.org. 300 IN A 18.4.89.35
    63. crm-mail.fsf.org. 300 IN CNAME 20121109-crm.fsf.org.
    64. cy.fsf.org. 300 IN CNAME fsf.org.
    65. dbd.fsf.org. 300 IN SSHFP 1 1 38452C99C77E8F8DEA498CCA301520FF212AB107
    66. dbd.fsf.org. 300 IN SSHFP 1 1 A5D95BE68755CE8E497930EF987CA4F57526481C
    67. dbd.fsf.org. 300 IN A 140.186.70.139
    68. dbd-old.fsf.org. 300 IN A 140.186.70.32
    69. de.fsf.org. 300 IN CNAME fsf.org.
    70. dirac.fsf.org. 300 IN SSHFP 1 1 F7AE73C0172FAC80B689998D5C6E8C3FF3F1DAB4
    71. dirac.fsf.org. 300 IN A 140.186.70.130
    72. directory.fsf.org. 300 IN SSHFP 1 1 9DE5721C6B092FF13E4B59C8B97575547775E6AD
    73. directory.fsf.org. 300 IN A 46.43.37.72
    74. directory-dev.fsf.org. 300 IN SSHFP 1 1 1E3DB688E75D80B8D6268263FE73E68A
    75. directory-dev.fsf.org. 300 IN SSHFP 1 1 9DE5721C6B092FF13E4B59C8B97575547775E6AD
    76. directory-dev.fsf.org. 300 IN A 208.118.235.147
    77. directory-old.fsf.org. 300 IN CNAME sycophant.fsf.org.
    78. directory-p.fsf.org. 300 IN SSHFP 1 1 421893830CB8B8DE7787ADDC1E88946154DAEA76
    79. directoryng-dev.fsf.org. 300 IN SSHFP 1 1 16B1A60475F9FC02E34F0B4881FC1CED9695B75D
    80. directoryng-dev.fsf.org. 300 IN A 140.186.70.94
    81. donate.fsf.org. 300 IN CNAME member.fsf.org.
    82. edit.fsf.org. 300 IN A 208.118.235.136
    83. en.fsf.org. 300 IN CNAME fsf.org.
    84. es.fsf.org. 300 IN CNAME fsf.org.
    85. esp.fsf.org. 300 IN SSHFP 1 1 61E726B0BFF9A586A26BC18B439ECFC5994D945F
    86. etherpad.fsf.org. 300 IN SSHFP 1 1 611CE5754202D6B9DC14ECA7E4F816858DBEF6ED
    87. etherpad.fsf.org. 300 IN A 18.4.89.39
    88. fr.fsf.org. 300 IN CNAME fsf.org.
    89. freesoftware.fsf.org. 300 IN CNAME subversions-ssh.gnu.org.
    90. bugs.freesoftware.fsf.org. 300 IN CNAME bugs.gnu.org.
    91. cvs.freesoftware.fsf.org. 300 IN CNAME subversions.gnu.org.
    92. ftp.freesoftware.fsf.org. 300 IN CNAME ftp.gnu.org.
    93. mail.freesoftware.fsf.org. 300 IN A 140.186.70.92
    94. mail.freesoftware.fsf.org. 300 IN MX 10 mail.fsf.org.
    95. www.freesoftware.fsf.org. 300 IN CNAME wildebeest.gnu.org.
    96. fs.fsf.org. 300 IN CNAME wildebeest.gnu.org.
    97. fsfla-data.fsf.org. 300 IN A 200.171.183.140
    98. gemini.fsf.org. 300 IN SSHFP 1 1 0C54EC3A725EA4567C995E081553FFD0EDBE4F3B
    99. gemini.fsf.org. 300 IN A 46.43.37.68
    100. gnupress.fsf.org. 300 IN CNAME www.gnupress.org.
    101. www.gnupress.fsf.org. 300 IN CNAME www.gnupress.org.
    102. gplv3.fsf.org. 300 IN SSHFP 1 1 92480D5F8EF347C606466C201AED4E65470F48E1
    103. gplv3.fsf.org. 300 IN A 208.118.235.156
    104. groups.fsf.org. 300 IN SSHFP 1 1 CEBFB0E8AF41BC971A7CA531CCF08C13BB75F689
    105. groups.fsf.org. 300 IN A 208.118.235.46
    106. www.groups.fsf.org. 300 IN CNAME groups.fsf.org.
    107. groups-dev.fsf.org. 300 IN A 208.118.235.80
    108. gtd.fsf.org. 300 IN CNAME 20121121-gtd.fsf.org.
    109. heinlein.fsf.org. 300 IN SSHFP 1 1 AF4EB26AFC839782F63AB83966F7B222D98FD44D
    110. heinlein.fsf.org. 300 IN A 74.94.156.212
    111. id.fsf.org. 300 IN SSHFP 1 1 36ECA7BE5AF57B4CB62C8F7F9BA65DD0BC02D031
    112. id.fsf.org. 300 IN A 140.186.70.99
    113. *.id.fsf.org. 300 IN A 140.186.70.99
    114. id-dev.fsf.org. 300 IN A 140.186.70.99
    115. *.id-dev.fsf.org. 300 IN A 140.186.70.99
    116. imap.fsf.org. 300 IN CNAME mail.fsf.org.
    117. it.fsf.org. 300 IN CNAME fsf.org.
    118. ja.fsf.org. 300 IN CNAME fsf.org.
    119. jabber.fsf.org. 300 IN SSHFP 1 1 B01A492737D805A65ED006C60FAD0444DAF4A0D2
    120. jabber.fsf.org. 300 IN A 208.118.235.82
    121. jabber-old.fsf.org. 300 IN A 199.232.41.79
    122. jamsession.fsf.org. 300 IN A 140.186.70.45
    123. *.jamsession.fsf.org. 300 IN A 140.186.70.45
    124. jumpgate.fsf.org. 300 IN SSHFP 1 1 F765789462784FC47F83BBE2744FF895BCD9A738
    125. jumpgate.fsf.org. 300 IN A 74.94.156.211
    126. klaxon.fsf.org. 300 IN SSHFP 1 1 4C9B76A18A780F49A7412D829547A021E68E1F60
    127. klaxon.fsf.org. 300 IN A 74.94.156.214
    128. ledger.fsf.org. 300 IN A 74.94.156.216
    129. libreplanet.fsf.org. 300 IN A 208.118.235.46
    130. libreplanet-dev.fsf.org. 300 IN A 208.118.235.80
    131. lists.fsf.org. 300 IN SSHFP 1 1 1FB95B9299E8A9580CEE1C9DA35C57087DA6B882
    132. lists.fsf.org. 300 IN A 140.186.70.132
    133. littlenemo.fsf.org. 300 IN SSHFP 1 1 C8CDA2FBED3F6D11E5ECE592CB06329734F09804
    134. live.fsf.org. 300 IN SSHFP 1 1 2201574856F7BA8B119D91C760B8B1B3E3B308F0
    135. live.fsf.org. 300 IN A 18.4.89.36
    136. live2.fsf.org. 300 IN A 208.118.235.169
    137. livestream.fsf.org. 300 IN A 208.118.235.25
    138. logger.fsf.org. 300 IN SSHFP 1 1 ACF2A57D11DDFDD5C1860537BE678E4912754F4F
    139. logger.fsf.org. 300 IN A 208.118.235.138
    140. m.fsf.org. 300 IN A 208.118.235.131
    141. m.fsf.org. 300 IN MX 10 mail.fsf.org.
    142. mail.fsf.org. 300 IN SSHFP 1 1 8AD71B7E343825F8571C48E46BC0D9F20D8B0AD2
    143. mail.fsf.org. 300 IN A 208.118.235.13
    144. medea.fsf.org. 300 IN SSHFP 1 1 3DFDE6D65537DE947F6F07880921885A94392A07
    145. medea.fsf.org. 300 IN A 140.186.70.161
    146. media.fsf.org. 300 IN CNAME wildebeest.gnu.org.
    147. member.fsf.org. 300 IN SSHFP 1 1 DC991327D1B7B418F14CE737B934AA56C389E688
    148. member.fsf.org. 300 IN A 208.118.235.131
    149. member.fsf.org. 300 IN MX 10 mail.fsf.org.
    150. _jabber._tcp.member.fsf.org. 300 IN SRV 0 0 5269 jabber.member.fsf.org.
    151. _xmpp-client._tcp.member.fsf.org. 300 IN SRV 0 0 5222 jabber.member.fsf.org.
    152. _xmpp-server._tcp.member.fsf.org. 300 IN SRV 0 0 5269 jabber.member.fsf.org.
    153. jabber.member.fsf.org. 300 IN A 208.118.235.168
    154. smtp.member.fsf.org. 300 IN A 208.118.235.50
    155. members.fsf.org. 300 IN A 208.118.235.131
    156. members.fsf.org. 300 IN MX 10 mail.fsf.org.
    157. _jabber._tcp.members.fsf.org. 300 IN SRV 0 0 5269 jabber.member.fsf.org.
    158. _xmpp-client._tcp.members.fsf.org. 300 IN SRV 0 0 5222 jabber.member.fsf.org.
    159. _xmpp-server._tcp.members.fsf.org. 300 IN SRV 0 0 5269 jabber.member.fsf.org.
    160. mirror.fsf.org. 300 IN SSHFP 1 1 6C343A2A0DA058AE737274024D66D551E226AC42
    161. mirror.fsf.org. 300 IN A 140.186.70.52
    162. mirror.fsf.org. 300 IN AAAA 2001:4830:134:4::c
    163. my.fsf.org. 300 IN SSHFP 1 1 4942730285B23C3B3214BD2EF63110B38D25C8BF
    164. my.fsf.org. 300 IN A 208.118.235.60
    165. www.my.fsf.org. 300 IN A 208.118.235.60
    166. my-dev.fsf.org. 300 IN A 208.118.235.64
    167. mycroft.fsf.org. 300 IN A 140.186.70.91
    168. nonce.fsf.org. 300 IN A 140.186.70.98
    169. ns1.fsf.org. 300 IN SSHFP 1 1 E1BCC3ED103B0CB0DFD7F494D1CF4414013CF07E
    170. bakerstreet.office.fsf.org. 300 IN SSHFP 1 1 7E0CD133C19988F9739CCA1BAD24D44AEECF434B
    171. bakerstreet.office.fsf.org. 300 IN SSHFP 1 1 F7FCD787517D10ECD94B70D4F36A96C52E800A48
    172. buffalo.office.fsf.org. 300 IN SSHFP 1 1 B8843D03D023BD295BE5AD1B81BA1F2033304C22
    173. cluestick.office.fsf.org. 300 IN SSHFP 1 1 65BAB0FCB7DBF3B28674CA9AEE7126B43080404A
    174. config.office.fsf.org. 300 IN SSHFP 1 1 65BAB0FCB7DBF3B28674CA9AEE7126B43080404A
    175. db.office.fsf.org. 300 IN SSHFP 1 1 A0B3ADEC28E5E7F8E3067276991BEFF530F3DBE8
    176. fsf-ath9k.office.fsf.org. 300 IN SSHFP 1 1 F2D6C093B180BF066A141133523D47C0C03A5802
    177. galileo.office.fsf.org. 300 IN SSHFP 1 1 DE8D0CD17735E79FF18309D9B54A11E0AE1FA97E
    178. info.office.fsf.org. 300 IN SSHFP 1 1 65BAB0FCB7DBF3B28674CA9AEE7126B43080404A
    179. ledger.office.fsf.org. 300 IN SSHFP 1 1 C3054D0FB4FCD3D79DC94EA3F70E640D52E2656C
    180. monitor.office.fsf.org. 300 IN SSHFP 1 1 15B5DFC3891D6834185EA5683CC05BB47C7688FB
    181. monolith.office.fsf.org. 300 IN SSHFP 1 1 11795B2FFD4095CA901047867A69B8ECD9F8A02D
    182. nessus.office.fsf.org. 300 IN SSHFP 1 1 33BCA18816B2F7E1A14114795862A56E43762136
    183. serenity.office.fsf.org. 300 IN SSHFP 1 1 7E0CD133C19988F9739CCA1BAD24D44AEECF434B
    184. tarantula.office.fsf.org. 300 IN SSHFP 1 1 1C21B505EE90425120A26CF2ECFC034AD0F4B542
    185. terminus-est.office.fsf.org. 300 IN SSHFP 1 1 2C2F79039676E489A428913AF362A810435114C2
    186. triton.office.fsf.org. 300 IN SSHFP 1 1 3849E035C88B46113D0FEB015FE07721B2E31B78
    187. ubik.office.fsf.org. 300 IN SSHFP 1 1 AC7AC2EAE202F4BE1A142717E594E80120C83DA9
    188. valis.office.fsf.org. 300 IN SSHFP 1 1 C909C06ACBFFDE38CFB27A9DBA5EA53CAA18A880
    189. zephyr.office.fsf.org. 300 IN SSHFP 1 1 5CEC6183FC0A30A31D5E51933616CAEFE4EAD70F
    190. zephyr-dev.office.fsf.org. 300 IN SSHFP 1 1 23C0A60BB9A53303BBF174735C40569E8DA4589F
    191. order.fsf.org. 300 IN CNAME agia.fsf.org.
    192. orders.fsf.org. 300 IN CNAME agia.fsf.org.
    193. parabola.fsf.org. 300 IN A 74.94.156.221
    194. patron.fsf.org. 300 IN A 208.118.235.131
    195. patron.fsf.org. 300 IN MX 10 mail.fsf.org.
    196. patrons.fsf.org. 300 IN A 208.118.235.131
    197. patrons.fsf.org. 300 IN MX 10 mail.fsf.org.
    198. piwik.fsf.org. 300 IN A 208.118.235.167
    199. pl.fsf.org. 300 IN CNAME fsf.org.
    200. pt-br.fsf.org. 300 IN CNAME fsf.org.
    201. pyxis.fsf.org. 300 IN SSHFP 1 1 A33981C3F1BA7A9EA39514F821AAA5E457C9797D
    202. pyxis.fsf.org. 300 IN A 208.118.235.165
    203. resolver1.fsf.org. 300 IN A 208.118.235.95
    204. resolver2.fsf.org. 300 IN SSHFP 1 1 AB865038AF57BAFFD8F658A9D6948BFBDE33C2FB
    205. resolver2.fsf.org. 300 IN A 208.118.235.134
    206. resolver3.fsf.org. 300 IN A 46.43.37.71
    207. rmstalk.fsf.org. 300 IN CNAME 20130326-rmstalk.fsf.org.
    208. ro.fsf.org. 300 IN CNAME fsf.org.
    209. ru.fsf.org. 300 IN CNAME fsf.org.
    210. s.fsf.org. 300 IN A 18.4.89.42
    211. satchmo.fsf.org. 300 IN CNAME agilus.fsf.org.
    212. shop.fsf.org. 300 IN CNAME agilus.fsf.org.
    213. shop-dev.fsf.org. 300 IN SSHFP 1 1 D4BEE6494D70AF9CBDB164B4F373E7A989593FD0
    214. shop-dev.fsf.org. 300 IN A 208.118.235.154
    215. shop-drupal.fsf.org. 300 IN CNAME 20121211-shop.fsf.org.
    216. shop-ng.fsf.org. 300 IN CNAME 20120905-shop.fsf.org.
    217. spamhaus-rsync.fsf.org. 300 IN A 208.118.235.31
    218. static.fsf.org. 300 IN CNAME svnweb.fsf.org.
    219. status.fsf.org. 300 IN A 18.4.89.42
    220. statusnet.fsf.org. 300 IN A 18.4.89.42
    221. store.fsf.org. 300 IN CNAME agilus.fsf.org.
    222. survey.fsf.org. 300 IN A 140.186.70.69
    223. sv.fsf.org. 300 IN CNAME fsf.org.
    224. svnweb.fsf.org. 300 IN SSHFP 1 1 129C06DBA5BB8E63199310F3347757AEBAB5F5E7
    225. svnweb.fsf.org. 300 IN A 208.118.235.30
    226. sycophant.fsf.org. 300 IN SSHFP 1 1 65AACA9D208194C00C826B01D38069E430DA667A
    227. sycophant.fsf.org. 300 IN A 18.4.89.34
    228. termite.fsf.org. 300 IN SSHFP 1 1 EE597F8E1FAA122837D74D9F83C8A730AFC510A8
    229. termite.fsf.org. 300 IN A 140.186.70.145
    230. tor.fsf.org. 300 IN SSHFP 1 1 93E6D194D1FFA5CA23556A4420D8632BECD02097
    231. tor.fsf.org. 300 IN A 140.186.70.48
    232. u.fsf.org. 300 IN A 18.4.89.42
    233. vcs.fsf.org. 300 IN SSHFP 1 1 AAB3FAA812544E87C7F45355A228C2D064374AA5
    234. vcs.fsf.org. 300 IN A 140.186.70.160
    235. vinge.fsf.org. 300 IN A 140.186.70.97
    236. vpn.fsf.org. 300 IN A 18.4.89.37
    237. watson.fsf.org. 300 IN SSHFP 1 1 D11A30E8EBF3E91E8508AF22FAB1D920F09FB905
    238. watson.fsf.org. 300 IN A 74.94.156.215
    239. _iax._udp.watson.fsf.org. 300 IN SRV 0 0 4569 watson.fsf.org.
    240. _sip._udp.watson.fsf.org. 300 IN SRV 0 0 5060 watson.fsf.org.
    241. weblabels.fsf.org. 300 IN A 208.118.235.30
    242. webmail.fsf.org. 300 IN SSHFP 1 1 8AD71B7E343825F8571C48E46BC0D9F20D8B0AD2
    243. webmail.fsf.org. 300 IN A 208.118.235.23
    244. www.fsf.org. 300 IN CNAME fsf.org.
    245. www-dev.fsf.org. 300 IN SSHFP 1 1 DC991327D1B7B418F14CE737B934AA56C389E688
    246. www-dev.fsf.org. 300 IN A 208.118.235.63
    247. www-dev2.fsf.org. 300 IN A 140.186.70.159
    248. zaphod.fsf.org. 300 IN CNAME zaphod.gnu.org.
    249. zephyr.fsf.org. 300 IN A 199.232.76.168
    250. zephyr-dev.fsf.org. 300 IN A 199.232.76.169
    251. fsf.org. 300 IN SOA ns1.gnu.org. hostmaster.gnu.org. 2941143631 3600 300 3600000 3600
    252. ;; Query time: 472 msec
    253. ;; SERVER: 208.118.235.164#53(208.118.235.164)
    254. ;; WHEN: Wed Mar 27 22:13:14 2013
    255. ;; XFR size: 248 records (messages 1, bytes 7127)
    Original pastebin: SbD DNS smurf - Pastebin.com

    Aunque para respuestas demasiado grandes el protocolo DNS suele funcionar por TCP y no por UDP, vamos a obviar este detalle por comodidad y teóricamente vamos a asumir que la comunicación se hace por UDP y entonces podemos falsificar la dirección del remitente y hacer que las respuestas lleguen a la víctima. Así, si repetimos la operación 10.000 veces, conseguiremos que a la víctima le llegue un tráfico de 70 MB habiendo generado nosotros sólo 380 KB.

    Si además tenemos en cuenta que hay miles de servidores DNS públicos que aceptan peticiones desde cualquier origen, tendremos toda una botnet pública a nuestra disposición para lanzar el ataque.
    Cuando CloudFlare publicó su primer informe, antes de que el ataque se multiplicara por cuatro, llegaron a detectar ataques desde 30.000 servidores DNS distintos, aunque Open DNS Resolver Project dice que hay hasta 25 millones de servidores potencialmente vulnerables.

    ¿Cómo protegerte de este ataque? Difícilmente, ya que no es un fallo en tu red ni en tu software, el fallo está en equipos ajenos (y en el diseño inicial de Internet y el DNS basados en gran parte en la buena fe) repartidos por todo el mundo que permiten ser usados como equipos zombies para un ataque. Además, los equipos zombies que se están usando no es una modesta botnet construida con equipos domésticos infectados y con una conexión ADSL, son miles de servidores con conexiones de alta capacidad.


    Las principales medidas contra el ataque las tiene que poner los servidores DNS vulnerables y son dos que están explicadas con más detalle en Open DNS Resolver Project:
    • Limitar el acceso al DNS. Si no es posible bloquear el acceso desde el exterior, limitar al menos la frecuencia de peticiones por IP.
    • Implementar técnicas de bloqueo de spoofing como BCP-38.
    Artículo cortesía de Jesús Pérez
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  3. #3  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.919
    Descargas
    8
    Uploads
    1
    La realidad es que el ataque si es real, eso no puede negarlo nadie... pero tampoco nada espectacular como se dijo en muchas webs... que pasa, pues algo que ya se insinua en el segundo post, que había interés en asustar y en decir que unos pueden con esos "super ataques" y más.

    Pero la realidad es distinta... ciertamente si influye un poco... pero por ejemplo influyo mucho más el tráfico bittorrent que hizo correr el primer capítulo de la tercera temporada del super éxito de HBO, que el ataque.

    Salu2
    He conocido muchos dioses. Quien niegue su existencia está tan ciego como el que confía en ellos con una fe desmesurada. Robert E. Howard
    La suerte ayuda a la mente preparada.
    Citar  
     

  4. #4  
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    Cita Iniciado por gondar_f Ver mensaje
    ... pero por ejemplo influyo mucho más el tráfico bittorrent que hizo correr el primer capítulo de la tercera temporada del super éxito de HBO, que el ataque...
    Hablas de GoT? jejeje, vaya vicio tiene la gente

    Aunque el mismo dia tambien terminaba otra, W.Dead, season finale, quizás ambas unieron sus fuerzas
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  5. #5  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.919
    Descargas
    8
    Uploads
    1
    yo hasta conozco quien se la ha bajado en inglés y no sabe nada de inglés... pero si, si juntas 2 capitulos muy esperados de 2 series muy descargadas, es normal que un porcentaje altísimo del tráfico de internet sea por su causa.
    He conocido muchos dioses. Quien niegue su existencia está tan ciego como el que confía en ellos con una fe desmesurada. Robert E. Howard
    La suerte ayuda a la mente preparada.
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 28-08-2014, 10:56
  2. Respuestas: 1
    Último mensaje: 24-03-2008, 17:18
  3. Sobre el Ataque DDos a Menéame y Genbeta
    Por clarinetista en el foro CIBERACTIVISMO
    Respuestas: 2
    Último mensaje: 12-02-2008, 22:59
  4. Ataque DDoS anti-hacker bloquea
    Por ancabi en el foro GENERAL
    Respuestas: 2
    Último mensaje: 13-01-2005, 20:11
  5. Respuestas: 0
    Último mensaje: 28-08-2003, 22:49

Marcadores

Marcadores