Dos meses después no ha vuelto a pasar nada. En su día escribimos un mail (sin muchas esperanzas) a los correos con los que se habían registrado los dominios que apuntaban a nuestras IPs, y recibimos respuesta. Nosotros les pedíamos una explicación además de contarles lo que estaba pasando y exigirles que retiraran de sus DNSs la entrada que apunta a nuestras IPs.
La respuesta fue tal que "Sorry, it's fixed now".
¿Qué pienso de todo esto? Pues que hemos sido blanco de una prueba de ataque o que se equivocaron al asignar la IP del dominio que se usa para atacar.
La mecánica parece sencilla: apuntan un dominio registrado por ellos (los botmasters) a la IP que se quieren "cargar" y luego, cuando se ha propagado el cambio de DNS, le dicen a los bots que pidan una página de ese dominio. Normalmente aunque no esté configurado el dominio en el servidor web del incauto (en este caso nosotros) siempre se tienen configurados los webservers para que respondan por IP o que redirijan a la página correspondiente del dominio "madre".
La pregunta evidente es: ¿Y por qué no atacan directamente a la IP y se dejan de historias? Pues no lo se con seguridad, quiero conjeturar que de esta forma hacen menos sospechoso el ataque para los ISPs de los bots, además de pasar por proxies que filtren IPs, etcétera.
Sobre las medidas a tomar cuando se sufre uno de estos ataques deciros que desgraciadamente MUY pocas. Si lo que hacen (como en nuestro caso) es pedir páginas web lo primero es tirar el servidor para conseguir dos cosas: que el hosting no os eche por exceso de tráfico y para poder entrar en la máquina y ver si la cosa es más grave (que nos hayan hackeado y el bot seamos nosotros mandando SPAM a saco). Si tenéis contratado un firewall hardware haceros un script que a partir del access_log saque las IPs de todos los que piden la página en concreto e id cargandolas en el firewall. Limpiad los logs, arrancad durante un rato el servidor web y repetir el proceso. Nosotros encontramos hasta 50.000 IPs diferentes, tenedlo en cuenta para saber si el firewall lo aguanta.
Si el firewall es software olvidaros del tema. De hecho lo podéis hasta tirar hasta que pase el DoS. Nosotros ni con el APF ni directamente metiendo las IPs en iptables pudimos hacer más que fundirnos la máquina mientras cargaban las reglas, quedando además inusable una vez cargadas (demasiadas comprobaciones por petición TCP/UDP).
En resumen, si no eres la CNN, Microsoft o El Pais lo tienes jodido si te ataca un botnet de tamaño normalito.
viernes, 9 de enero de 2009
Suscribirse a:
Entradas (Atom)