[HACK] subidon de adrenalina en la raiz del DNS

Pope pope at undersec.com
Mon Oct 28 11:53:44 CET 2002


El dom, 27-10-2002 a las 14:29, Kestrel escribió:
> Relacionado con el asunto del ataque sobre las DNS, hay algo que no
> llego a comprender sobre este tipo de noticias. Según los informativos
> de TV, el ataque es realizado por múltiples máquinas "esclavas" que son
> instruídas por el atacante para bombardear al objetivo. Estas máquinas
> "esclavas" han sido previamente "infectadas" por un tipo de virus,
> gusano o similar por el atacante, o al menos así lo manifiestan estos
> informativos.
> 
> Sin embargo, para un ataque del tipo DoS, tengo entendido que no es
> necesario "infectar" de ningún modo a estas máquinas "esclavas".
> Bastaría simplemente con falsear la dirección IP de origen del atacante
> para que estas máquinas "creyeran" que reciben un "Ping Request" de la
> victima. Esto sería suficiente para desbordar al servidor DNS, o al
> menos eso creo.

Hombre, a ver... según en qué ataques funciona de una u otra forma. Por
ejemplo, yo puedo mandar un echo request (un ping) a 192.168.1.255 (el
broadcast de una clase C) poniendo como origen _tu_ dirección IP. De
esta forma, cada una de las máquinas de esa red te manda a ti un echo
reply (el pong). Solución: yo he mandado un paquete y a ti te han
llegado 256 (en el mejor de los casos). El problema es que hoy en día la
mayoría de los routers filtran el tráfico de broadcast, de forma que mi
falso paquete nunca llegaría a su destino, con lo cual ni hay ataque ni
hay nada.

Así, existen troyanos que sí permiten controlar otras máquinas para
conseguir un DDoS como dios manda. Por tanto lo que dicen las noticias,
al menos a grandes rasgos, es cierto. Había un papelote bastante curioso
sobre este tema en:
http://grc.com/dos/grcdos.htm

Un saludo

	Pope

> 
> De este modo me surge la duda: los informativos sólo oyen campanas (o
> bien se limitan a hacer accesibles a los oyentes este tipo de noticias),
> o este tipo de ataques realmente necesita "infectar" tantas máquinas
> para ser efectivo.
> 
> Gracias y un saludo.
> 
> 
> _______________________________________________
> Lista - http://mailman.argo.es/listinfo/hacking
> FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
> "una-al-dia" para estar siempre informado - http://www.hispasec.com/
-- 
Pope - Undersec Security Team
pope at undersec.com

PGP Public Key available at http://www.undersec.com/staff/pope/pope.asc





More information about the hacking mailing list