[HACK] Respuesta ante ataques DoS y DDoS

[Roman Medina]

 Hola,

 Me gustaría saber vuestra opinión y recibir consejos sobre cómo
actuar ante un ataque de denegación de servicio, tanto normal
-proviniente de una IP- como si es distribuido. Las preguntas van
orientadas más a nivel administrativo y jurídico, que técnico.

 El escenario es el siguiente: supongamos que eres el responsable de
una máquina en co-location en un ISP "X". Obviamente no disponemos de
ningún control ni responsabilidad administrativa sobre el ISP;
simplemente has alquilado una máquina en el mismo y eres el
responsable únicamente de ella (el "root" de dicha máquina, vamos).
Tienes una IP pública "prestada" por el ISP (pero en realidad en el
NIC figura como perteneciente a tu ISP). Te das cuenta de que la están
atacando, en concreto, con paquetes ip-proto-255 (ver
http://mailman.argo.es/pipermail/hacking/2003-June/001685.html). Están
consumiendo tus recursos de red.

 Bien, ¿qué haríais? Está claro que lo primero es ponerse en contacto
con el ISP. Aquí vienen mis dudas. El ISP puede tomar varias posturas:
1) Negligente: no hacer nada, simplemente esperar a que cese el ataque
2) Más o menos colaboradora: se deciden a aplicar algún tipo de
filtrado en su "border router", de forma que absorbe el ataque sin
problemas (una máquina es fácil de flooder, todo un ISP ya no tanto,
aunque como es lógico dependerá de la magnitud del ataque; y si no,
que se lo pregunten a irc-hispano ;-)).
3) Responsable: como 2, pero además intentan ponerse en contacto con
los responsables administrativos de las IPs atacantes para comunicar
el ataque e intentar que se solucione así como ayudar a prevenir
futuros ataques.
4) Muy responsable: como 3, sólo que además interponen cualquier tipo
de denuncia e intentan cazar a la persona responsable del ataque.

 Asumiendo que nuestra intención (como responsable de la máquina
atacada) es, en orden de preferencia, primero parar el ataque (para
continuar dando servicio), y luego pillar al culpable, para que no se
vuelva a repetir en el futuro, ¿cómo actuaríais ante cada una de las 4
posturas posibles del ISP, suponiendo que no es viable contratar a un
nuevo ISP?

 En particular me interesa bastante el caso 1). Se que muchos van a
decir: "cámbiate de ISP". Pero me gusta ponerlo dificil: supongamos
que no nos interesa cambiarnos de ISP. ¿Que haríais? ¿Qué posibilidad
tenemos de lograr el objetivo propuesto *sin la ayuda del ISP*?
¿Podríamos denunciar nosotros el hecho, sin tener potestad alguna
sobre el ISP? ¿A qué entidades gubernamentales podríamos denunciar el
hecho? ¿Qué organizaciones (estilo CERT, etc) creeis que merece la
pena contactar? En definitiva, contadme todo lo que haríais vosotros o
creeis conveniente ante una situación así.

 Para las cuestiones anteriores, por favor, me gustaría obtener
respuestas para dos situaciones diferentes: a) La máquina está ubicada
en España. b) La máquina está ubicada en Europa (pero no en España).
c) La máquina está ubicada en USA. He hecho estas distinciones porque
según el caso es posible que interese más contactar con unas que con
otras organizaciones. Por ejemplo, no creo que sea factible presentar
una denuncia formal a la Unidad de Delitos Infomaticos de la Guardia
Civil, cuando tanto el ISP como máquina atacados está situados en USA.
¿O quizás me equivoque?

 Saludos,
 --Roman

--
PGP Fingerprint:
09BB EFCD 21ED 4E79 25FB  29E1 E47F 8A7D EAD5 6742
[Key ID: 0xEAD56742. Available at KeyServ]