Agentes de la Policía Nacional en una operación con el FBI han detenido a un exdirectivo de Intereconomía y a los tres expertos informáticos que éste contrató para un ciberataque a la web de PRNoticias, que le provocó la caída de su página web durante tres semanas causándole unas perdidas valoradas en 425.000 euros.
|
etiquetas: detenido , exdirectivo , intereconomia , web , ciberataque
El tema de las denegaciones de servicio es un tema que conozo muy muy bien. Cuando hubo los ataques a meneame y a weblogs sl estuve intentando echar una mano, aconsejando y explicando los detalles especificos de este tipo de ataques. De hecho he ayudado ya en decenas, sino cientos de mitigaciones de ataques de denegación de servicio.
Dicho todo esto, el problema de las denegaciones de servicio distribuidas es un problema muy muy grande. Hoy en día CUALQUIERA, ABSOLUTAMENTE CUALQUIERA que sepa informática y reciba una explicación de... 3 o 4 horas puede tumbar practicamente cualquier servicio que se proponga.
Se habla mucho de DDoS a servicios públicos como en este caso, pero que un informático, tras una charla de 3 o 4 horas pueda colapsar los servicios informáticos de…...
Permitanme presentarles a
↑↑↓↓←→←→BA┘
#11: ¡¡¡FATALITY!!!
Creo que no era lo que buscabas, acabas de matar a @meneame.
El tema de las denegaciones de servicio es un tema que conozo muy muy bien. Cuando hubo los ataques a meneame y a weblogs sl estuve intentando echar una mano, aconsejando y explicando los detalles especificos de este tipo de ataques. De hecho he ayudado ya en decenas, sino cientos de mitigaciones de ataques de denegación de servicio.
Dicho todo esto, el problema de las denegaciones de servicio distribuidas es un problema muy muy grande. Hoy en día CUALQUIERA, ABSOLUTAMENTE CUALQUIERA que sepa informática y reciba una explicación de... 3 o 4 horas puede tumbar practicamente cualquier servicio que se proponga.
Se habla mucho de DDoS a servicios públicos como en este caso, pero que un informático, tras una charla de 3 o 4 horas pueda colapsar los servicios informáticos de practicamente cualquier empresa u organización, privada o gubernamental, es algo dramático.
Es un tema al que no se le presta mucha atención, por que afortunadamente todavía no es algo tan extendido como podría llegar a serlo. De momento, los ataques son muy rudimentarios.
Quiźas haría falta concienciar mucho mas a empresas y gobierno sobre los problemas y peligros de las denegaciones de servicio y de como se podrían usar para colapsar un país.
Además, la mayoría de estos ataques pueden coordinarse de forma que sea imposible encontrar a los autores, y eso es muy grave.
El hecho de que en este caso se haya usado para tumbar opiniones contrarias a un directivo de intereconomia... bueno, eso es marca España
...
...
... ¿puedo despojarlo?
Salu2
Y sí, esta el slowloris y demás pero...
La carta de presentación sobra un poco.
www.meneame.net/story/prisa-mediapro-contratan-empresa-ataca-portales-
www.meneame.net/story/lfp-mediapro-prisa-planean-ddos-contra-rojadirec
#29 A ver, en realidad en prnoticias se inventan muchísimas cosas. Sí, dices que se anticiparon al cierre de Intereconomía, pero es que Intereconomía ahí sigue. También recuerdo cómo muchas veces sacaban noticias cuando yo curraba en Intereconomía que nos tenían a los trabajadores varios días con el corazón en un puño y luego resultaban ser mentira. Ojo, igualmente te digo que cuando yo curraba allí era una página que mirábamos a menudo para leer cosas sobre Intereconomía, porque sí, a veces acertaban, pero tampoco tan a menudo, y desde que hicieron caza de brujas en Intereconomía y echaron a todo aquel sospechoso de disidente, no han vuelto a dar pie con bola en prnoticias. El director de prnoticias es un personaje y no de los buenos precisamente.
¿Que será lo que hará que no entre en la cárcel?
a) Indulto
b) Defecto de forma
c) Insuficiencia de las pruebas
d) Captación de pruebas ilegal
e) Pena de 2 años y no entra en la cárcel al estar integrado en la sociedad.
f) ........
Pena de 2 años y un día, entrada en prisión para hacer el paripé y en 0, tercer grado y a dorimir a la cárcel hasta que pase el nubarron e indulto sin publicidad
Sea como sea, no entiendo por que te pones a la defensiva, ni me contestas de esa forma pasivo-agresiva, cuando estamos hablando de un tema tan interesante!
Hay muchas cosas, #23, de tu comentario que demuestran que mi comentario era completamente acertado: La gente no entiende lo que es una denegación de servicio, en que se fundamenta ni como funciona y no es es consciente de la gravedad de todo el asunto.
En primer lugar, es increíble que hables de syn cookies en el año 2014. Es increíble por muchísimos motivos, pero está claro que tu has aprendido lo que es un DDoS en un libro: desde luego no has realizado, ni visto realizar uno en toda tu vida.
Los ataques de denegación de servicio modernos no usan técnicas de los 90 como 'syn flood'. No lo hacen por que la mayoría de ISP validan que el remitente de un paquete TCP saliente desde uno de sus clientes, concuerde con una de las direcciones IP asignadas a ese cliente.
Dicho de otra forma, si te envío un syn (o un paquete cualquiera) con remitente X.X.X.X y resulta que esa IP no es la que tienes asignada a mi boca, entonces el paquete lo para el propio ISP. Quedan muy pocos ISP que no hagan esto.
Además de eso, los ataques de tipo syn flood se pueden bloquear de cientos de maneras creativas, y la mayoría de servicios modernos no son vulnerables a ellos, aunque encontrases un ISP que te deje pasar esos SYN.
Es totalmente increíble que me hables de syn flood hoy en día, claramente las amenazas son otras y de una naturaleza muy diferente, son de naturaleza estructural como bien comenta #17.
#20 concienciar a la gente sobre la seguridad mitigaría bastante el problema, pero desde luego no es la causa raíz de los DDoS.
#48 no se puede. Basta con que el atacante esté detrás de TOR para que nunca puedas encontrarle.
Por si a alguien le interesa el tema, a la pregunta que ha hecho #17 existe una respuesta super interesante.
A groso modo, existen dos tipo de denegaciones de servicio, las que explotan un comportamiento del servicio atacado, hasta agotar sus recursos y las que simplemente consumen el ancho de banda del atacado.
Las primeras, dentro de las cuales podríamos englobar al syn flood y muchas otras técnicas, se previenen entendiendo el ataque y aplicando soluciones de seguridad. Las denegaciones de… » ver todo el comentario
En realidad, que en un foro de internet alguien hable de algo no creo que tenga que ver con que le paguen, sino con sus aficiones e intereses personales. Aunque aquí en meneame a veces parece que hay a quien le pagan por sacar algun tema!
Las denegaciones de servicio a la web pública de un partido político no son importantes. Las denegaciones de servicio a juegos online, ecommerce, etc pueden producir grandes perdidas. Además las denegaciones de servicio a puntos estructurales de una organización (DNS, Mail, etc) pueden causar problemas serios. Existen muchos sistemas conectados a internet que si se paran, tenemos problemas/se pierde dinero.
No siempre hay que pensar en el típico caso de anonymous ddoseando a una web pública sin importancia. Piensa mas en ataques estratégicos a puntos de enlace entre organizaciones, servicio de correo, tiendas online... etc.
También los ataques de denegación de servicio pueden tener gran impacto en eventos/organizaciones de tiempo limitado, por ejemplo podrían haber ddoseado sistematicamente la web para coordinar la gran V que se hizo en el 11s, y hubiese sido imposible hacerla sin la coordinación de internet.
Una startup podría ser ddoseada durante el tiempo en que está intentando levantar financiación: seguramente matarías la empresa con un ataque que sabe hacer un niño de 16 años un poco espabilado.
Si bien es cierto que el código penal se ha modificado para hacer que interrumpir un servicio sin autorización sea un delito, falta todavía mucha concienciación en la parte técnica del problema.
Prueba de todo esto, es que un tío como el de esta noticia, puede contratar a 3 tíos y tumbar un medio online cualquiera, o el hecho de que las webs de streaming sea ddoseadas cuando hay un partido importante. Todo esto demuestra que las denegaciones de servicio son un problema real y actual.
Por supuesto que las intrusiones como la que expones son un problema, pero eso no hace a las denegaciones de servicio un problema menor: hablar de un problema grave no hace menos grave a otro problema.
"En primer lugar, es increíble que hables de syn cookies en el año 2014. Es increíble por muchísimos motivos, pero está claro que tu has aprendido lo que es un DDoS en un libro: desde luego no has realizado, ni visto realizar uno en toda tu vida."
Aparte de hacker eres adivino también. En fin. Encima lo que pasa es que estás equivocado en esa frase aunque sea por coincidencia.
Lo que no entiendo es como esa web de noticias no usa CDNs como frontales.
"En primer lugar, es increíble que hables de syn cookies en el año 2014. Es increíble por muchísimos motivos, pero está claro que tu has aprendido lo que es un DDoS en un libro: desde luego no has realizado, ni visto realizar uno en toda tu vida."
Aparte de hacker eres adivino también. En fin. Encima lo que pasa es que estás equivocado en esa frase aunque sea por coincidencia.
Y aparte de libros y mi curiosidad, también he asistido a charlas como esta (in situ)
events.ccc.de/congress/2012/Fahrplan/events/5152.en.html (la del 28C3)
Respecto a las tcp-sync cookies y el año 2014, que quieres que te diga... la gente sige usando Wordpress y PHP, y son un medio perfectamente válido para aumentar la seguridad y prevenir estos ataques, no son la solución pero pueden ayudar (etherealmind.com/tcp-syn-cookies-ddos-defence/) y si no, como comentan ahí hay alternativas, yo mismo he comentado los IDS que pueden detectar un DDoS y empezar a filtrar IPs. Por ejemplo.
También he mencionado slowloris, como otro ejemplo de vector de ataque que hay que cubrir... y como ves, estoy hablando de estos temas sin tener que dar una carta de presentación que no es necesaria.
"#48 no se puede. Basta con que el atacante esté detrás de TOR para que nunca puedas encontrarle."
¿No estás al día de las vulnerabilidades (corregidas) en Tor verdad?
Tor no se diseñó para atacar nada, eso es cierto.
Tiene retardo, sí... algo más de latencia puede haber pero desde que empezó diría que ha mejorado mucho.
Gracias por avisar.
Pero no contento con eso, luego me dices que en realidad mi carta de presentación es insuficiente! Si quieres me pongo a hablar contigo de mi vida y milagros, pero es que ya me has dicho que eso no te interesa lo mas mínimo (normal, no nos conocemos), ¿cómo ahora me pides mas acreditación? Chico, aclarate!
Pero esto no es lo mas divertido del asunto. Lo mas divertido del asunto es que después de hablar de syn flood y syn cookies, enlazas a un artículo sobre el hash flooding, que no es mas que utilizar colisiones en algoritmos de hashing para bloquear servicios vulnerables. En relaidad, esto entraría en la categoría de denegaciones de servicio que se basan en el comportamiento del servicio afectado y no tanto en problemas infrastructurales de internet, como otros ataques.
Aunque el hash flood es bastante interesante desde el punto de vista técnico, y todos nos reímos cuando eso salió, jugando a hacer off-by-ones a colegas que no estaban al día de esa vulnerabilidad, es algo anecdótico.
Los ataques reales, o 'in the wild' como dicen algunos, no se basan en esas técnicas, o lo hacen en una medida muy baja. Pero vaya, que aún y así, el hash flood no tiene nada que ver con el syn flood, no se como has cambiado de tema tan rápido ¿Quizás te has dado cuenta de que tengo razón, por eso me hablas ahora de otro ataque?
Pero por si todo esto no fuese suficiente, lo impresionante viene después:
Respecto a las tcp-sync cookies y el año 2014, que quieres que te diga... la gente sige usando Wordpress y PHP, y son un medio perfectamente válido para aumentar la seguridad y prevenir estos ataques, no son la solución pero pueden ayudar (etherealmind.com/tcp-syn-cookies-ddos-defence/) y si no, como comentan ahí hay alternativas, yo mismo he comentado los IDS que pueden detectar un DDoS y empezar a filtrar IPs. Por ejemplo.
Ese parrafo sin sentido es una mezcla de malentendidas y temas inconexos que es impresionante! Es casi una obra de arte.
En primer lugar, no se que tiene que ver syn flood con wordpress o PHP! Sobre los IDS que detectan DDoS... claro, los DDoS basados en vulnerabilidades, como los hash flood, pero desde luego no el 99% de los DDoS diarios que se basan en saturación de red pura, donde la discusión sería otra totalmente diferente y los IDS no pintan nada en eso.
¿Cómo puede un IDS evitar que me saturen el caudal que tengo? Una vez el IDS ya ha recibido el paquete para analizarlo, es por que ha llegado a mi máquina, al igual que muchos otros, a 10gbps, saturando de muy lejos mi caudal y dejando sin servicio a los usuarios legítimos, diga lo que diga el IDS.
El slowloris, que es un ataque mas antiguo que el andar 'palante', en mi época le llamban 'sockfuck', es otro ataque que se basa en el comportamiento del sistema atacado, y no en saturarle. Evidentemente este tipo de ataques son bloqueables en un IDS y no representan el grueso de ataques DDoS diarios, que son basicamente por saturación (saturación UDP, para ser mas precisos)
Sobre el tema de las vulnerabilidades de tor, por supuesto que si. Conozco las vulnerabilidades teoricas de tor y las vulnerabilidades explotadas ampliamente en el firefox que llaman 'tor browser', sobretodo las relacionadas con javascript. Un atacante inteligente normalmente usaría tor, pero no tor browser. Además lo haría desde una wifi hackeada, buena suerte encontrándole.
primero
No todo son syn flood, hay otro tipo de paquetes. No paras de mencionarlo.
segundo
>>"Aunque el hash flood es bastante interesante desde el punto de vista técnico, y todos nos reímos cuando eso salió, jugando a hacer off-by-ones a colegas que no estaban al día de esa vulnerabilidad, es algo anecdótico.Los ataques reales, o 'in the wild' como dicen algunos, no se basan en esas técnicas, o lo hacen en una medida muy baja"
hash flood no es "flood" como tal ni es el nombre del ataque que te he puesto, no tiene nada que ver con "flood" si no que atacan a la complejidad de ciertos algoritmos entre otras cosas, y desde luego no tiene que ver con "off by one" en el contexto porque esto sería más bien para buffer overflows y similares. Pero ok. Será anecdótico aunque tuvieron que parchear la mayoría de lenguajes de programación populares.
>>"pero vaya, que aún y así, el hash flood no tiene nada que ver con el syn flood, no se como has cambiado de tema tan rápido"
Obviamente tiene que ver, con los DDoS, que es de lo que hablamos. Syn flood es una opción, udp es otra, slow loris es otra técnica y hay muchas más que se pueden usar para hacer DoS, algunas por consumo de ancho de banda y otras por consumo de la CPU o la memoria RAM o de las conexiones a la base de datos o la tabla NAT del router o ...
Los ataques reales se basan en esas técnicas, porque son reales. Punto.
tercero
>>"El slowloris, que es un ataque mas antiguo que el andar 'palante', en mi época le llamban 'sockfuck'"
El slowloris es del 2009, el sockfuck ese no sale ni en Google (al menos en el contexto).
...y es un ataque más, que te permite hacer denegación de servicio con poco tráfico. Slowloris es un ataque como cualquier otro, que sirve igual para hacer un DDoS (www.incapsula.com/ddos/ddos-attacks/) igual de fácil y de difícil de parar que otros ataques.
Eso de que todos los ataques DDoS son UDP o que el 99% son UDP, no se de donde lo has sacado... si asi fuera, filtras por UDP (muchas veces no habrá problema) y DDoS resuelto.
cuarto
>>"Sobre el tema de las vulnerabilidades de tor, por supuesto que si. Conozco las vulnerabilidades teoricas de tor y las vulnerabilidades explotadas ampliamente en el firefox que llaman 'tor browser',[...] Además lo haría desde una wifi hackeada, buena suerte encontrándole."
De esta parece que no habías escuchado: blog.torproject.org/blog/recent-black-hat-2014-talk-cancellation reciente como ves. Nada que ver con js ni con nada de lo que comentas...
Respecto a la wifi hackeada, sin comentarios.
(no te tomes la respuesta como algo personal)
Es un problema de números y tuberías. Si a ti te llega un fogonazo de 100gpbs y tu tubería de red es de 10gbps (por un decir), toda tu electrónica de red se quedará más seca que la mojama. Por mucho IDS, iptables y mandangas que tengas por medio. Es como intentar parar una riada con un muro de ladrillo.
Las soluciones milagrosas anti-ddos NO EXISTEN por muchos cantos de sirena que quiera venderte el comercial de turno. Como mucho podrás mitigarlo. Normalmente se requiere la intervención del ISP para que corte, a nivel de routing, todo el tráfico que viene de una ruta determinada.
Sobre tu comentario,
>> "Vete a decirle a las empresas que gastan millones de dólares en protección, que tu todo lo arreglas con firewalls, IDS, unas reglitas en el IPtables, servidores redundados y ya está."
Es que las protecciones por las que pagan millones como tu dices -que no és el caso de la gran mayoría- lo gastan precisamente en: firewalls, IDS, electrónica redundante (y potente) así como servidores distribuidos redundantes y con gente que puede mantener los servidores y prevenir ataques así como mitigarlos. ¿O en qué gastan "los millones" que tu dices si no...?
>>"Si a ti te llega un fogonazo de 100gpbs y tu tubería de red es de 10gbps (por un decir), toda tu electrónica de red se quedará más seca que la mojama."
Depende del hardware y de como tengas la red configurada, y del sistema operativo. Pero vaya, entiendo lo que dices, pero como ya he mencionado te pueden hacer un DoS sin 100gps y tienes el problema igual. Hay otras técnicas que no necesitan generar tráfico fuera de lo normal para provocar un DoS (sin tener que ser una vulnerabilidad tipo Ping of Death o un bof, etc. Pero por ejemplo.).
>>"Las soluciones milagrosas anti-ddos NO EXISTEN"
Bueno, para todos los DDoS pues no, por ahora. Aunque en general parece que Google se maneja bien, hagan lo que hagan.
Lo que comentas del ISP es lo que puedes hacer tu también como he dicho ya, via IDS u otro mecanismo. Si tu tienes tu rango IP y controlas los firewalls pues cuando detectes que algo esta pasando puedes llegar a filtrar, o si es imposible al menos filtras todo y esperas a ver que hacer si no hay manera de evitarlo.
Hay papers y software por ahí basado en redes neuronales para detectar y prevenir ataques DDoS roberto.perdisci.com/projects/mcpad.
Pues no. Porque cuando te viene un cholón de tráfico desde una botnet, por decir algo, ya puedes matarte a enrackar firewalls como un poseso y escribir DROPs a mansalva, que lo único que vas a hacer es el tonto. A ver si te crees que los firewalls y los IDS son interfaces milagrosas que no tienen CPU, interfaces de red o memoria y pueden procesar paquetes hasta el infinito y más allá sin inmutarse. En esos casos llamas a tu ISP y le dices "córtame todo el tráfico que viene de este AS a nivel BGP" y ya. Y aún así, con reservas.
Creo que #70 ha explicado muy bien el problema, no hace falta agregar nada mas.
Evidentemente que hay denegaciones de servicio que no se basan en saturación pura de red, te lo he intentado explicar durante 3 comentarios repitiendo lo mismo. Estas denegaciones tienen fácil arreglo y no representan problemas reales.
Un problema real es cuando te tiran 100gbps usando una botnet de miles de servidores hackeados con algún 0day en un script php medio popular y un dork medio bien hecho.
En ese caso, cuando eso sucede, que es la mayoría de los ataques de denegación de servicio que se realizan cada día, te tiran el servicio.
Si paras el servicio, no has evitado nada, por que lo que querían los atacantes era justo eso.
Filtres lo que filtres en tu firewall, el atacante solo quería consumirte ancho de banda a lo bestia, y el hecho de que estén SUS paquetes en TU firewall significa que ese ancho de banda ya se ha consumido, independientemente de lo que haga tu firewall después con el paquete.
En estos casos, se pueden hacer algunas cosas, pero es un problema muy muy serio:
1. como bien dice #70, si tienes la posiblidad puedes intentar hacer que ese tráfico no llegue a ti. Hay varias maneras de hacer eso, aunque basicamente son dos: si estás en un datacenter grande, puedes hablar con ellos para que los paquetes de cierto tipo (especialmente UDP) no lleguen a tu servidor. Esto lo haces con la esperanza de que su hardware de red, que está delante del tuyo, pueda soportar la carga.
Si eso no es una opción, siempre puedes intentar hablar con tu ISP para que se los trague el esos paquetes. Los ISP tienen capacidad para gestionar esos volumenes de tráfico y si no llega a tu hardware de red, podrías soportar el ataque.
En la inmensa mayoría de los casos, estas opciones no son tan fáciles: depende de tu conectividad y contrato el ISP no te proporcionará ese servicio, y si no estás en un datacenter con ese servicio, o es tu propio datacenter, tampoco podrás frenarlo antes de llegar a ti.
En esos casos, simplemente seguirás offline hasta que o bien el ataque se detenga, o bien negocies una conectividad con estas opciones con tu ISP, o mudes todo a un datacenter con esa posiblidad.
Si tu opción ha sido esperar a que el ataque se detenga, puedes acelerar que eso pase contactando, uno a uno, con la dirección de abuse del ISP del origen de las IPS atacantes, esto no funciona siempre pero casi siempre, y por cada contacto que haces, le quitas un bot al atacante: puedes mermar rápidamente su capacidad.
Si el ataque era de pequeños ordenadores hackeados por todo el mundo, dificilmente van a estudiar un mail de abuse sobre la IP de un particular domestico.
Después de todo esto, relee tu comentario de #23, fijate el tono con el que está escrito, fijate como trivializas y simplificas un problema real, que produce perdidas millonarias al año y que puede poner en riesgo la viabilidad de casi cualquier negocio en internet o generar problemas graves en la gestión informática de una empresa o incluso un país.
Es cierto que cloudfare es un gran servicio: un reverse proxy al que se conectan los usuarios en lugar de a tu auténtico servidor web. La idea es buena, pero tiene muchos problemas:
1. solo sirve para protocolos basados en la web
2. cualquier conexión que realiza el servidor o acción que realiza, leakea la dirección ip del servidor
El punto 2 está relacionado con el 1, realmente.
Me explico: tienes un foro, detrás de cloudfare. Alguien que quiera DDoSearte, tiene cientos de opciones, las mas simples:
- Registrarse y mirar las cabeceras del mail de confirmación para ver la dirección IP del remitente (esto es lo mas habitual, funciona casi siempre)
- Ponerse un avatar enlazado por URL: si el software del foro hace un GET a la url del avatar para comprobar dimensiones, que es una imagen o cualquier otra cosa, ese GET leakea la IP del servidor
- Si en lugar de un foro es un blog, el pingback leakea la dirección IP del servidor
- Si meneame lo usase, bastaría con enviar una noticia para que meneame haga un GET a esa URL, para extraer la información: ese GET leakearia dirección IP original de meneame
- Cualquier mensaje de error con mas datos de lo normal puede rápidamente leakear la dirección original
- Un largo etcetera.
Yo personalmente siempre recomiendo cloudfare, pero un atacante preparado tardará muy muy poco en sacar tu auténtica dirección IP y tumbarte el servidor.
>> "Los ataques UDP Reflection Flood DrDoS (Inundación mediante Amplificación) son bastente complicados de mitigar: blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataqu"
Ya... ¿y? ¿ he contradecido algo de lo que has dicho ? o es solo un comentario aleatorio. De verdad, es como los otros dos... que no paran de inventarse cosas que no dicho y te interpretar lo que escribo como quieren.
Sí, ya he comentado que hay ataques con varios tipos de paquetes TCP, y también UDP con distintas técnicas como slowloris, ataques de amplificación, smurf, etc. Y me contestas
a) explicando el ataque asumiendo que no lo se cuando es obvio que no es necesario ni explicarme el tema ni tampoco traducirmelo al castellano (que no es que no aprecie que seas explícito de todas formas)
b) dices que los ataques DoS via UDP (amplificados o de cualquiera forma) son bastante complicados de mitigar. Vale, se puede discutir hasta que punto pero evidentemente es complicado de solucinar. Tienes razón.
Ahora... ¿qué tiene que ver con nada de lo que yo he puesto? no se que estás matizando de mi comentario de arriba o que se supone que tratas de corregir o mejorar.
Y por favor, elhacker.net... conozco el sitio, no pretendo ser despectivo pero vaya. Creo que hay mejores sitios y fuentes.
De hecho, es justo lo mismo que dices en #76, por lo que es raro que en #75 digas lo contrario.
Por cierto, #75, el-brujo, no esperaba encontrarte por meneame, el mundo es un pañuelo
#77 a ver, que no te enteras, así que te lo simplifico mucho:
1. Se dice que los ataques DDoS son muy graves
2. Tu dices que no lo son, que con un IDS, un firewall y no se que mas, problema resueto
3. Te explican que eso no es así, que existe toda una categoría de ataques que no se pueden parar así y que entonces, tu comentario ha sido una tontería, puesto que finalmente SI hy DDoS muy díficiles de parar, tal como te intentamos explicar
4. tu sigues hablando de técnicas que son triviales de mitigar
5. Nosotros seguimos explicandote que esas técnicas, además de obsoletas (syn flood, ahora sacas smurf...) no son el tema importante, que lo importante es UDP Flood y técnicas derivadas
6. Sigues sin entenderlo
Va, admitelo, te has equivocado y punto. Los ataques DDoS serios no se basan en esas técnicas que comentas, los ataques de verdad son de centenares de GBPS por UDP, y simplemente te saturan. Como tales son un problema real para empresas, gobiernos y organizaciones y de momento no tienen solución fácil.
¿Lo entiendes?
#77 Ya... ¿y? hombre dices textualmente "filtras por UDP (muchas veces no habrá problema) y DDoS resuelto y ojalá fuera tan fácil
cuando es obvio que no es necesario ni explicarme el tema ni tampoco traducirmelo al castellano ¿Vas de sobrado?
Luego #78 yo es que flipo, estás haciendo interpretaciones y poniendo en mi boca cosas que no he dicho o es que tu comprensión lectora es NULA. O lo mismo no has seguido el orden en el thread.
>> 1. Se dice que los ataques DDoS son muy graves
Se sabe, pero no para paralizar un país como han exagerado... y si fuera el caso, irrelevante. Porque además estoy de acuerdo en la afirmación.
>> 2. Tu dices que no lo son, que con un IDS, un firewall y no se que mas, problema resueto
Yo no he dicho "no lo son" ni he insinuado que no sea para tanto en sentido literal ni de ninguna manera pero he matizado que hay DoS y DoS, que hay muchas técnicas y que no todo es problema de flood de tráfico y que muchos de estos ataques se pueden parar con un sistema de IDS, firewall o lo que sea sin problema. Todos no, pero muchos sí. ¿Es tan complicado de entender?
>> 3. Te explican que eso no es así, que existe toda una categoría de ataques que no se pueden parar así y que entonces, tu comentario ha sido una tontería, puesto que finalmente SI hy DDoS muy díficiles de parar, tal como te intentamos explicar
A mi no me han explicado que no es así, os habéis puesto a poner interpretaciones a mis comentarios como habéis querido y omitiendo información obvia y enlaces que yo mismo he facilitado... pues ok.
Mi comentario no ha sido una tontería, y YO he mencionado los DDoS muy dificiles de parar porque en los comentarios iniciales estabáis todos enfocados en el SYN-TCP flood y de ahí no habéis salido hasta que yo he entrado a comentar.
>> 4. tu sigues hablando de técnicas que son triviales de mitigar
No se a que te refieres, todo es trivial de mitigar, algunas vulnerabilidades comentadas estan ya parcheadas y otras que se supone que lo estaban han reaparecido tal vez con alguna variante.
Pero vaya... que otro punto irrelevante, porque aquí el tema no es comentar a ver que técnicas son fáciles de mitigar o no. Y en cualquier caso yo comento las técnicas que me da la gana, que sean o no triviales de mitigar en el contexto de simplemente mencionarlas no importa.
>> 5. Nosotros seguimos explicandote que esas técnicas, además de obsoletas (syn flood, ahora sacas smurf...) no son el tema importante, que lo importante es UDP Flood y técnicas derivadas
syn flood no lo he mencionado yo majo, ni smurf (como ataque, lo he mencionado como EJEMPLO de ataque magnificado).
udp flood lo he comentado yo incialmente y luego otra gente, que sí... que me parece bien, pero es que yo he sido el primero en sacarlo y sigue sin significar nada, porque como dices hay MUCHAS técnicas (tema de los hashes que también he comentado).
No se, la gente tiene una manera muy selectiva de leer la información en los foros.
>> 6. Sigues sin entenderlo
No colega, el que no lo entiende eres tu. Pero claro, para que intentar enteder lo que lees. "Los otros son los que están equivocados, yo soy super pro así que lo que digan da igual."
Yo no me he equivocado, pero si se diera el caso me importa poco reconocerlo, pero es que no he dicho nada para poder equivocarme realmente.
Estáis hablando de ataques de 100 Gbit etc, sin hablar de la parte económica del lado ISP/Carrier.
NADIE va a aguantar que le metan 100 Gbit y comerse ese trafico para que tu estés online, la única opción es que los carrier corten la ruta y eso implica downtime. Si pagas mucha pasta, todo es posible, pero el atacante ya ha conseguido su objetivo, joderte economicamente.
Por cierto, cloudflare aguanta, pero a un cliente mio le enchufaron 140 Gbit, lo que hizo cloudflare es mandarme a mi el trafico directo, no van a comérselo por 20 ni por 200$ ;D
Ovh tiene proteccion antiddos también, pero lo de siempre, 1,2,5 Gbit, enchufales 100 Gbit, a ver si lo aguantan por un server de 10 euros al mes
En mi opinión, los DDoS son la cosa mas peligrosa de internet. Un kiddie te tira dos horas, un tío dispuesto a hundirte, te puede tumbar 1 mes y arruinarte (a excepción de que seas una multinanacional, te rascaras el bolsillo y podrás mitigarlo)
Un saludo a todos
Se sabe, pero no para paralizar un país como han exagerado... y si fuera el caso, irrelevante. Porque además estoy de acuerdo en la afirmación.
Exacto, tu has dicho que un DDoS no es tan grave, nosotros te hemos dicho que si, que las denegaciones de servicio eran un tema muy grave, tu has insinuado que no. Tío, leete tu primer comentario en este hilo, anda.
Yo no he dicho "no lo son" ni he insinuado que no sea para tanto en sentido literal ni de ninguna manera pero he matizado que hay DoS y DoS, que hay muchas técnicas y que no todo es problema de flood de tráfico y que muchos de estos ataques se pueden parar con un sistema de IDS, firewall o lo que sea sin problema. Todos no, pero muchos sí. ¿Es tan complicado de entender?
El problema es que mientras yo hablaba de la gravedad de los DDoS, y desde mi primer comentario (puedes buscarlo) hablaba de los DDoS masivos de saturación, tu hablabas de Syn flood, de smurf, de IDS y de firewalls. Todo eso son tonterías para parar ataques de script kiddies de turno. Un DDoS de 100gbps como el de spamhaus es un problema muy serio, que si se realizase contra los sistemas de haciendo, generaría muchos, muchos problemas a un país.
Mi comentario no ha sido una tontería, y YO he mencionado los DDoS muy dificiles de parar porque en los comentarios iniciales estabáis todos enfocados en el SYN-TCP flood y de ahí no habéis salido hasta que yo he entrado a comentar.
Eso no ha sido así
Mi primer comentario ha sido en #14 hablando de la gravedad de los DDoS, sin mencionar los ataques de script kiddie, ese tema lo has SACADO TU, no yo, ni ningún otro.
Has sido TU el que ha empezado a hablar de syn flood, de slowloris, de smurf etc. Si lo repasas, verás que todas y cada una de esas técnicas las has mencionado tu en este hilo por primera vez. Yo desde el principio he hablado de saturación de tráfico UDP, incluso he sugerido revisiones al protocolo UDP para frenar este problema. Mientras yo hablaba de eso, tu has dicho que los DDoS son una tontería y has empezado a decir que se paran con un firewall: claramente estabas pensando en smurf, en syn flood, en slowloris etc, como bien has manifestado TU MISMO en tus comentarios.
No se a que te refieres, todo es trivial de mitigar, algunas vulnerabilidades comentadas estan ya parcheadas y otras que se supone que lo estaban han reaparecido tal vez con alguna variante.
Pero vaya... que otro punto irrelevante, porque aquí el tema no es
… » ver todo el comentario
Y si, ovh no se traga un DDoS de 100gpbs por 10€ al mes, de hecho no hace falta tanto, con 50gbps de tráfico ya suelen darte de baja.
Como muy bien dices, cloudfare funciona muy bien, pero no se van a tragar 100gbps por 20€ al mes, mas que nada por que no sale a cuenta. El tráfico hay que pagarlo y esto como bien dices tiene costes para el carrier, y dependiendo de los acuerdos de peering estos costes pueden ser muy, muy elevados.
>> "Bueno, vuelves a las andadas frase tuya: "todo es trivial de mitigar"",
No, eres tu el que vuelves a las andadas, he dicho MITIGAR, que no solucionar, o evitar. Obviamente como he dicho ya varias veces, hay DoS y DoS. Mitigar siempre los puedes intentar, ahora... que puedes evitar el DoS es otro tema. Y vete al final de este comentario, verás que curiosidad más grande y tu comentario en #14(el primero).
Vuelves a interpretar mis palabras como quieres.
>> "El comentario #23 es tuyo, por lo que si, syn flood los has mencionado tu el primero."
Perdona, ahora eres tu el que mientes. Yo no he mencionado syn flood en #23 si no "syn cookies" junto con otras tres o cuatro cosas, si vamos a ser así de estrictos. Pero vaya, que viene a ser irrelevante. >> "Syn cookies es una técnica para mitigar syn flood."
Sí, pero es que en la misma frase también he mencionado, IDS, firewall, etc. Así que no me seas selectivo con la información.
Manipular se te da bien, eso vamos a reconocerlo.
>> "Has sido TU el que ha empezado a hablar de syn flood, de slowloris, de smurf etc. Si lo repasas, verás que todas y cada una de esas técnicas las has mencionado tu en este hilo por primera vez. "
Pues sí, es posible, como ejemplo. De que hay muchos tipos de DoS y de que no todo son usando syn/udp/loquesea paquetes y/o grandes volúmenes de tráfico y de que hay maneras de prevenir muchos DoS (MUCHOS, NO TODOS) especialmente cuando no te están enviando 140gbps ni granadas.
Obviamente si te tiran una granada en el CPD pues entonces da igual lo que tengas, aunque puedes prevenir que ocurra o mitigar el daño.
Pero nada... ¿Qué quieres que te diga? ¿qué los DoS son imposibles de parar y que no podemos hacer nada ? pues no es cierto, pero si que es complicado dependiendo del DoS/DDoS.
>> "Usa la función ctrl + f (buscar) de tu navegador y verás que la primera mención a UDP en este hilo es mía, en #66"
Ya, ¿pero se te ha ocurrido mirar quien ha sido el primero en comentar que no todo es syn flood o ataques con tráfico massivo de cara a hacer un DoS ? eres tu mismo el que dice que yo he sacado por primera vez el resto de ataques o palabras relacionadas con el tema. Que vuelvo a insistir, que más dá.
Ahora, si tratas de decirme que soy un mentiroso en pase a ser puntilloso en el orden de quien mencionó "UDP" flood primero: en lo que si me he… » ver todo el comentario