26 de septiembre de 2008

Tweet

---

ForoSpyware bajo ataques DDoS (Ataque de denegación de servicio)

Desde este lunes 23 de Septiembre venimos sufriendo nuevamente una oleada de fuertes ataques DDoS (Distributed Denial Of Service) contra nuestro foro oficial ForoSpyware.com . Cómo abran notado el foro está trabajando mucho más lento de lo normal y teniendo periodos continuados de no disponibilidad (servidor no encontrado).

En este caso los ataques los estamos detectando como preveniente de redes Botnets de Argentina creadas con cientos de PCs zombis, por lo que en ocasiones cuando sobrepasa nuestras otras medidas de protección, nuestros filtros bloquean los rangos de IPs 190.xxx.xx.xx imposibilitando la entrada al foro a todos los usuarios que utilicen este numero de IPs en países como Argentina, Venezuela, Colombia y mi natal Uruguay para que se pueda seguir ofreciendo el servicio al resto de usuarios.

Es importante aclarar que un ataque DDoS no modifican los sitios webs ni obtiene información de estos, su cometido es entorpecer el acceso de los usuarios al servidor.

Que son los ataques DDoS ?

Los ataques DDoS se ejecutan típicamente usando herramientas DDoS que envían muchos paquetes con peticiones a un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor, haciendo el sistema inutilizable. Cualquier sistema que esté conectado a Internet y equipado con servicios de red TCP está expuesto a un ataque.

Por ejemplo, imagínese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas contesta al teléfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita que clientes legítimos ordenen una pizza porque la línea telefónica está ocupada. Esto es una negación de servicio, y es análogo a un ataque del DDoS.

Pasado a la informática se refiere a cuando una computadora o un programa, dejan de responder al servicio solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultáneos con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturándolo), o se produce algún tipo de sobrecarga o desbordamiento de búfer por un exceso de datos a procesar y el programa deja de responder.

Existen 3 tipos de ataques bajo la definición genérica de DDoS:

• Net Flood: Este ataque simplemente aspira a degradar la conectividad Internet de una red mediante la saturación de sus enlaces de comunicación. Se organizan ataques masivos desde diferentes puntos de la red con las denominadas computadoras zombies.

• Syn Flood: Se basa en la regla de conexión entre 2 máquinas llamada “conexión en tres pasos” precisamente porque requiere la realización de tres pasos iniciales antes de que la conexión se pueda considerar establecida. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado “semi-abierto”. Este ataque satura las conexiones semi-abiertas de una pc.

• Connection Flood: Todo servicio de Internet orientado a conexión tiene un límite máximo en el número de conexiones simultaneas que puede tolerar, cuando este limite es alcanzado no se admitirán nuevas conexiones. Pero en este caso se completa la negociación “en tres pasos” que comentábamos en el ataque Syn Flood. Debido a ello la máquina atacada tiene constancia de la identidad real del atacante.

Desde InfoSpyware estamos trabajando intensamente en conjunto con los administradores de nuestros servidores y la gente del Data Center para poder bloquear estos ataques de forma definitiva sin perjudicar el acceso a los usuarios normales del foro, pero al no se una tarea nada fácil, puede que los problemas se prolonguen unos días más…

Por lo que les sugerimos a nuestros usuarios que estén atentos tanto al Blog como a nuestro Twitter donde estaremos informando.

Surf Safely