The Strange Tale of the Denial of Service Attack against GRC.com (2001) ->

http://web.archive.org/web/20031204195742/http://grc.com/dos/grcdos.htm

Lectura nocturna recomendada,

DDoS es un asuntito bastante serio. A los afectados… les sugiero se informen bien sobre el tema, porque identificar a los verdaderos culpables y combatirlo tengo entendido que no es nada fácil.

¿Qué es “informarse bien” ?. Es la gran pregunta.

No sé responderlo, pero para hacerse una idea -aparte de consultar a verdaderos expertos que los habrá- sugiero buscar una historia real [de lucha contra DDoS] que tuvo que abordar el dueño de www dot GRC dot com, creo que alrededor de 2002 (Mr. Gibson). Es el sitio web que aloja el servicio Shields Up!!. La pena no daros el link exacto de tal historia (que pone los pelos de punta), no lo he vuelto a encontrar; incluía un LOG de chat con los “malos” de la película.

En cualquier caso, fué hace varios años; acaso con la tecnología actual es más fácil combatir el DDoS; lo desconozco.

Lo que “recuerdo” (y creo que es útil) es lo siguiente, para el caso, muy ilustrativo:

(a) DDoS llevado a cabo desde 400+ ordenadores secuestrados (zombies), repartidos en todo el mundo. Vamos, 400 IP’s distintas. Esta semana habrán usado decenas de ellas; la siguiente serán OTRAS decenas de IP’s distintas…. and so on. Hasta que se aburra el “controller” de la botnet.

(b) Los dueños de esas IP’s no son los culpables, salvo de no cuidar sus respectivos PC’s o servidores, en algún caso (con antivirus, etc). Están infectados, bots controlados remotamente, sin conocimiento de sus dueños legítimos.

(c) IP’s de distintos países, distintas leyes, calidad de cuerpos policiales o judiciales, seriedad, honestidad de los ISP’s, etc, etc. Evidentemente, algunas de esas IP’s… pueden ser dinámicas.

(d) Mr. Gibson buscó que la policía e inclusive el FBI le defendiera. NO ENCONTRÓ LA FORMA. Entre oros detalles, más o menos le indicaron que si sus pérdidas no superaba los 200.000 dólares… no había recursos para atenderle (sus pérdidas creo que ’sólo’ rondaban los 50.000 por aquél entonces).

(e) Mr. Gibson pidió ayuda… a algunos de los ISP’s. Prácticamente tampoco recibió apoyo de ellos. Pero Gibson encontró la forma de enviar una especie de email broadcast dirigido a algunos de estos 400 IP’s… para ROGARLES le hicieran el favor de enviarle una MUESTRA del VIRUS /MALWARE/ BOT que había en sus PC’s.

Él quería realizar ingeniería inversa de ese MALWARE.

(f) Un alma caritativa desconocida (posiblemente uno de los 400) le hizo llegar esa muestra a Mr. Gibson, quien se empolló una RFC (la de IRC/chat) y pudo descifrar el código de aquél MALWARE.

Está claro que esto sólo lo pueden hacer “algunos elegidos” :-)

Llegó a descifrar tan bien dicho código, que hizo una VARIANTE para poder sniffar el servidor IRC desde el cual el “malo” daba las órdenes a los 400 BOT’s para realizar os ataques.

(g) Mr. Gibson generó un LOG de 8 días contínuos de dicho servidor IRC (particular de los hackers). E identificó a un compañero (the ‘boss’, creo) del “malo”. El diálogo que tuvo Mr. Gibson con el ‘boss’ es digno de encontrarlo en la web y leerlo con nuestros propios ojitos.

Ruego si alquien lo localiza, lo ponga aquí, con la bendición de Sergio :-) (?)

(h) El caso es que, en aquél entonces, Mr. Gibson, con habilidad PSICOLÓGICA llegó a convencer a los delincuentes de turno que le DEJARAN tranquilo.

Resolvió su problema.

Corolarios:

(1) Eso fué hace tiempo; ahora hay más recursos… pero de ambas partes, es decir, la policía, los ISP’s, los proveedores de soluciones defensivas… pero lamentablemente, tambien hay más recursos para los “delincuentes” ¿no? Ej: Acaso la red de bots … es muy superior a 400. Rogad a dios que no sea así.

(2) Entre las IP’s que muestra Sergio, las hay de Taiwan, Grecia, Turquía, Estados Unidos… y España.

¿España?? Un rango de IP’s bastante estrecho (whois/ dnsstuff). Estupendo. Estupendo para “tirar del hilo”
Ojalá no hayan limpiado el BOT…

Yo desde luego procuraría conseguir un ejemplar del malware. Y rezar para que no sea de esos cuyo CC (Command and Control, creo que se llama) no sea “dinámico”, o de las variantes P2P más modernas (apenas tengo idea).

Ojalá… se pueda capear el temporal filtrando esas IP’s. Pero tengo entendido que no es suficiente, “ni de lejos”. Nope (ojalá me equivoque, en este caso).

Imagino que una de las técnicas para capear el temporal (o lo fué alguna vez) es filtrar las peticiones HTTP en donde la URL destino es directamente IP numérica (ej: http://xxx.yyy.zzz.ppp, en lugar de http://www….com) o del tipo de navegador que hace la petición, como hacía Microsoft, por ejemplo.

En fin, todo un tema. Desconozco si Sergio puede aportar más información, actual, sobre técnicas para:

+ Técnicas para combatir el DDoS en el momento de la tormenta. Indicar órdenes de magnitud reales.

+ Técnicas de Análisis Forense y Persecución Judicial (meses…años?)

Bienvenidos comentarios, correcciones; datos más concretos :-)

Espero que todo se haya solucionado de forma satisfactoria y se pueda actuar judicialmente contra los causantes de los ataques.

Por desgracia, la detección de la fuente y su bloqueo suele requerir la colaboración entre ISPs y posiblemente las fuerzas del orden.

En este caso, según la última actualización del post de Julio parece ser que NTT no está filtrando como si parece haberlo hecho Ferca para meneame y error500.

esperemos que se les solucione el problema pronto.

Saludos y gracias Sergio!

En caso de tener control, es cuando entran en juego el resto de medidas de “capeado de temporal”, entre las que destaca el filtrado de tráfico, y el balanceo dinámico entre un pool de IPs, por ejemplo.

De todos modos, sea como fuere, un ataque fuerte de DDoS es muy difícil de contener si no se filtran adecuadamente las IPs de origen, o en su defecto, de los servicios TCP o UDP que estén bloqueando el servicio.

Saludos,

vamos, que si tienes un servidor dedicado (o varios como WSL) y el proveedor no filtra el acceso no puedes hacer nada, ¿no?

A nivel de servidor, me refiero, con iptables, tarpits, mod_evasive, mod_security…