A través de menéame me he enterado de que algún graciosillo está lanzando un ataque DDOS contra genbeta por un artículo acerca de esos odiosos “quien te admite en el MSN” y similares (personalmente os recomiendo jabber donde esas artimañas no son necesarias 🙂 ). Así que este blog se va a solidarizar con genbeta y va a sugerir (con fines educativos) una forma de devolverle el golpe al responsable del ataque (ahora mismo se sospecha del admin de Blockoo pero igual no lo es).
En fin, empezaremos por dar unas nociones básicas de que tipo de ataque se podría hacer contra este tipo de servicios, pero siempre con fines educativos y recordando que los ataques DOS y DDOS son ilegales en España y en otros países por lo que dejo esto con un fin meramente ilustrativo y no recomiendo usarlo si no es para hacer pruebas en redes propias.
En primer lugar tenemos el tradicional ataque DDOS, simple y eficaz. Para hacerlos nos bastaría con ejecutar en Linux en una consola:
while(true); do wget -q -O /dev/null "http://www.responsable.ext"; done
y estaremos haciendo un ataque DOS a pequeña escala contra (en este caso) el servidor web responsable.ext si cambiais el nombre del servidor pues entonces atacaréis a otro servidor 🙂 Aquí os propongo una versión un poco mejorada que espera una cantidad de tiempo aleatoria entre 0 y 10 segundos y cuenta las peticiones generadas.
WAITMAX=10; WEB="http://responsable.ext"; PETS=0; while(true) do wget -q -O /dev/null "$WEB"; PETS=`expr "$PETS" + 1`;clear; echo "Enhorabuena, ya has realizado $PETS peticiones ;)"; sleep `expr $RANDOM % \( "$WAITMAX" + 1 \)`; done;
Cambiando los valores a la derecha del igual en WAITMAX y en WEB podéis elegir la víctima y el tiempo máximo de espera 🙂
Sin embargo, yo había pensado en algo más divertido que aún estoy viendo como se podría llevar a cabo, un ataque DDOS basado en solicitud de servicios. Que consistiría en mejorar el script en bash anterior para que hicera solicitudes reales con una cuenta hecha para la ocasión. Cuando vea como hacerlo actualizaré y os indicaré cual es la cuenta creada para hacer unas pruebas para tal fin (a fin de que nos agreguemos mutuamente para que el bot tenga que mandar más solicitudes 😉 ).
Finalmente aquí os dejo un C&P del artículo escrito por Víctor de Genbeta:
¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos
Víctor PimentelParece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.
Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.
Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.
Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.
Y no sería más facil localizar el servidor desde el que se está haciendo el ataque y que toda la comunidad de meneame le hiciera un ataque DDOS a dicho servidor?
Si colapsamos al atacante, el ataque cesará!!
Hola Joan, el principal problema es que un DDOS es un DOS clásico en el que se usan diversas máquinas controladas por el atacante (y generalmente sin conocimiento por parte del propietario) para realizar el ataque. Esto por un lado causa la descentralización del ataque y por otro hace difícil encontrar al responsable y aún suponiendo que conociéramos las IPS atacantes el atacante no se vería afectado sino que lo serían terceros que no tienen nada que ver en esto.
Si tu idea por contra es colapsar los servicios que ofrece el atacante, esta viene a ser la idea de los scripts que tienes ahí arriba 🙂
Y entonces por qué aun no han usado esos scripts para bloquear el ataque? porque lleva ya tiempo caida…
Creo que no me entiendes :S
Esos scripts son útiles para, por ejemplo, tirar abajo la web del responsable del ataque para que deje de atacar si quiere que vuelva a funcionar.
Básicamente permiten hacer lo mismo que les están haciendo a los de genbeta.
A ok.
Pues eso es ilegal, y como la cosa es detener esto por lo legal, una mejor solución sería permitir, durante este periodo de ataque, un máximo de x conexiones por ip en un periodo de tiempo determinado.
Por ejemplo, una misma ip solo se puede conectar 3 veces cada 15 minutos.
Es una medida drástica, pero yo creo que frenaría el ataque y es mejor ver 3 noticias de genbeta por persona que no ver ninguna en a saber cuanto tiempo…
Efectivamente, es ilegal y es algo que aviso. El uso de esos scripts (especialmente el primero) es completamente ilegal :S
Respecto a restringir las visualizaciones por cliente, el principal problema de eso es que una noticia lleva consigo imágenes y otros contenidos lo que complica el tema aunque si te interesa, puedes buscar información acerca del módulo mod_evasive del apache 🙂
Una pregunta, ¿has tenido algún problema o alguna caida?
Es que en las listas de los blogs que habían copiado la noticia del ataque a genbeta, mi blog estaba de los primeros (supongo que estarian en orden alfabetico). Ha estado casi un dia caido.
También han atacado a meneame y a error500. Me extrañaría mucho que atacasen mi blog, pues tiene menos de 1 semana y apenas entra nadie… pero como está de los primeros de la lista… ¿tu has tenido algún problema?
La verdad es que no he notado nada raro Joan, salvo un extraño incremento del número de visitantes, pero tampoco como para llegar a un DDOS
que interesante ¬¬
Ya ves, es lo que tiene la calentura del momento y que me estaban tocando un poco los webs esa gente 🙂