Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Akamai deja de dar protección a KrebsOnSecurity después de recibir un ataque DDoS de 620 Gbps


Después de la publicación por parte de Brian Krebs de la detención de dos israelís propietarios de VDOS, uno de los servicios de ataques DDoS de pago más utilizado del mundo, su blog http://krebsonsecurity.com/ ha sido atacado con 620 Gbps de ancho de banda, lo que ha provocado que su empresa de protección DDoS haya decidido no protegerle más. Finalmente la única empresa que ha accedido a proteger gratuitamente a Brian Krebs ha sido Google, con el programa de protección para la censura en internet del proyecto Google Shield






Akamai se rinde

Resulta cuanto menos curioso que una empresa proveedora de servicios de internet que se dedica principalmente a la protección de ataques de denegación de servicios (DDoS) le diga a un cliente que no le va a proteger más.

La verdad es que un ataque de tal magnitud es muy complicado de manejar, ya que abarca tanto ancho de banda que por mucha infraestructura que tengas, incluso el resto de clientes se ven afectados por los daños colaterales.

Otras empresas han ofrecido protección al blog de krebsonsecurity.com pero el presupuesto manejado sería de unos 150.000$ a 200.000$ anuales algo muy díficilmente asumible para un periodista dedicado a la seguridad informática.

Google protege la libertad de expresión

Parece que el único gigante tecnológico con infraestrctura capaz de soportar semejantes ataques es la de de Google, gracias a su proyecto gratuito contra la censura en internet llamado Google Shield, ofrece protección gratuita a medios de comunicación censurados mediante ataques.




Los sitios hosteados por Project Shield estarían detrás de la infraestructura de PageSpeed, por lo que Google podría reunir todos sus recursos para reforzar una página si ésta cae víctima de un ataque DDoS.
  • Noticias o contenido de medios de comunicación independientes
  • Información electoral
  • Información acerca de los derechos humanos

Actualmente, solo puedes acceder a Project Shield si recibes una invitación, y estamos buscando "verificadores de confianza" adicionales. Se invita a las organizaciones con sitios que suministran contenido de medios de comunicación o relacionado con las elecciones o los derechos humanos a enviar una solicitud a través del formulario que aparece a continuación. Obtén más información acerca de la iniciativa aquí.

El problema de fondo: BCP38


Los ataques DDoS mediante reflexión y amplificación son un gran problema de fondo difícilmente solucionable mientras muchos ISP no apliquen medidas contra el spoofing de IP'S como el BCP38

Los atacantes usando una técnica llamada DrDDoS usaron servidores DNS mal configurados, para amplificar el ataque hasta generar 665 Gigabits de tráfico por segundo.

Los servidores vulnerables deberían ser cerrados o configurados correctamente:

El Grupo de Trabajo de la Red de la Internet Engineering Task Force (IETF) publicó Best Current Practice documento 38 en mayo de 2000 y Mejores Prácticas actuales 84 marzo 2004 que describe como un proveedor de servicios de Internet puede filtrar el tráfico de red en su red para rechazar los paquetes con direcciones de origen no puede llegar a través del recorrido del paquete actual


Los paquetes falsos deberían prohibirse en el origen (BCP38) Network Ingress Filtering: Defeating Denial of Service Attacks que emplea "IP Source Address Spoofing"


Implementar (para evitar IP Spoofing)


  • BCP38 (RFC2827)
  • BCP84 (RFC3704)

¿Qué es BCP38?

El documento BCP38 corresponde al estándar RFC2827: Filtrado de redes en ingreso: derrotando los ataques de denegación de servicio que utilizan direcciones IP de origen falsificadas (Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing, en el inglés original). Es decir, es un documento que explica estos ataques, y recomienda a los operadores de redes las mejores forma de evitarlos.

Los ataques de Denegación de Servicio (DoS), y sus primos aún peores de Denegación de Servicio Distribuido (DDoS), siempre han sido difíciles de manejar. Y si a eso le sumamos que los paquetes que componen el ataque podrían tener su origen falsificado, no solo se hace más dificil detener el ataque, sino también se hace imposible deternimar desde dónde viene.

La solución a este problema, descrito en el RFC2827 escrito hace 13 años atrás por Paul Ferguson y Daniel Senie, es bloquear los paquetes IP en el momento de entrar a Internet si es que tienen direcciones IP falsificadas -- es decir, direcciones IP que no fueron asignadas al dispositivo que los está enviando. Existe un pequeño número de casos en los que esos paquetes not son fraudulentos, pero ese porcentaje es tan bajo que se pueden manejar como excepciones mantenidas a mano, incluso en ambientes donde tales paquetes serían bloqueados en su origen -- el título 'Filtrado en ingreso' mencionado en el RFC.


Fuentes:
http://www.redeszone.net/2016/09/25/akamai-deja-tirado-krebsonsecurity-ataque-ddos-sufrido-google-viene-al-rescate/
https://krebsonsecurity.com/2016/09/the-democratization-of-censorship/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.