[HACK] Respuesta ante ataques DoS y DDoS

Angel Protector angelprotector at hotmail.com
Thu Sep 25 00:21:11 CEST 2003 

>  Hola,

Hi.. como va...

>  Asumiendo que nuestra intención (como responsable de la máquina
>atacada) es, en orden de preferencia, primero parar el ataque (para
>continuar dando servicio), y luego pillar al culpable, para que no se
>vuelva a repetir en el futuro, ¿cómo actuaríais ante cada una de las 4
>posturas posibles del ISP, suponiendo que no es viable contratar a un
>nuevo ISP?

Coincido en que lo primero que quedras hacer es parar  el ataque.. mmm
sucede que en muchos casos.. no podras hacerlo sin la ayuda de tu
provaider... he aqui la gran diferencia entre un BUEN servicio y un
servicio mediocre. Al día de hoy.. los GRANDES deberian tener sus
border routers configurados con valores de timing aceptables respecto
de los DDoS conocidos..

>  En particular me interesa bastante el caso 1). Se que muchos van a
>decir: "cámbiate de ISP". Pero me gusta ponerlo dificil: supongamos
>que no nos interesa cambiarnos de ISP. ¿Que haríais? ¿Qué posibilidad
>tenemos de lograr el objetivo propuesto *sin la ayuda del ISP*?
>¿Podríamos denunciar nosotros el hecho, sin tener potestad alguna
>sobre el ISP? ¿A qué entidades gubernamentales podríamos denunciar el
>hecho? ¿Qué organizaciones (estilo CERT, etc) creeis que merece la
>pena contactar? En definitiva, contadme todo lo que haríais vosotros o
>creeis conveniente ante una situación así.

Te puedo contar de mi caso concreto. Hace cosa de dos meses atras los IDS's 
Instalados en un cliente, nos alertaban en forma constante de intentos de 
ataques y portscaning desde dos IP's diferentes. De acuerdo al analisis 
inicial, la primera IP correspondia al servidor principal de un pequeño ISP 
de una cooperativa telefonica local y la segunda a un shopping electronico 
en los EEUU.

Bien, la primera accion.. fue verificar como veras el origen de los ataques 
(No me refiero solo a la IP sino.. verificar, y esto corrio por mi cuenta 
los problemas de seguridad de ESOS servers atacantes) Puesto que era 
absolutamente evidente el hecho de que los servers habrian sido owneados por 
un atacante, me comunique electronicamente con la dirección de ambos 
webmasters.

Los ataques no cesaron apesar de mi ofrecimiento de ayuda personal, de 
hecho... se intensificaron. Los administardores no respondieron. Cuatro dias 
mas tardes, hize uso de la famosa "abuse at xxxx.com" aun sigo esperando 
respuesta...

Por suerte para mi, en este caso en particular.. al tratarse de ataques 
diferentes, basto con bloquear el trafico de estas direcciones. Ahora bien, 
estoy practicamente seguro, que en caso de haber sido victima de un DDoS 
probablemente no hubiera contado con la ayuda de nadie... al menos es una 
sensacion personal.

>  Saludos,
>  --Roman

Bien.. entiendo que quizas no haya aportado nada al hilo.. pero me parecio 
interesante el hecho de compartir el mismo temor al saber que existen 
determinados ataques, que requieren de alguien mas que yo para ser 
detenidos... espero todos puedan colaborar con este hilo y saquemos algo 
interesante.

Quizas alguien de CERT nos podria allanar el camino.. no se si habria que 
llegar a la guardia civil.. o si??

Saludos!

Angel Protector

_________________________________________________________________
Charla con tus amigos en línea mediante MSN Messenger: 
http://messenger.yupimsn.com/

More information about the hacking mailing list