Se burla la cueva del dragon de los DoS
Del articulo anterior parece que alguien se vio ofedido y el dia de hoy estuvo mas que dispuesto a invertir tiempo en tomar la cueva, desde DoS hasta intentos de deface, el problema con esos intentos es que es un ignorante de las artes del hack, mas bien este noob intento ingenuamente usar herramientas como acunetix
Sin embargo la ira no se desato hasta que no tome la iniciativa de burlarme de esos mediocres intentos, mostrándole en su navegador esta pagina WEB
Lo cual causo un efecto de ego lastimado que parecía aporrear el teclado, como ha quedado documentado en el siguiente video.
Ahora que es lo que sucede cuando alguien dosea la cueva, tengo muchas líneas de defesa, algunas mas ortodoxas otras mas bromistas y esta ultima de burla y humillación para el atacante, cuando el servidor detecta multiples conexiones “sin sentido” las redirecciona a otro servidor, la mayoría de los atacantes están acostumbrados a servidores estaticos , ellos entienden de un dominio y de una ip, pero no entienden de cosas mas complicadas, como ruteo de paquetes, proxy inverso, todo eso queda fuera de su conocimiento por que estos haxor son de juguete, de chocolate, son una broma de expertos informáticos
Aquí hay artículos que hablan de esto
Lo que sucede aquí es que mis atacantes ven mi ip, pero no es real, el servidor esta en otra que podria o no ser ruteable “homolagada” en internet a la que nunca tendrán acceso, entonces cuando mis programas detectan conexiones “sospechosas” están son redireccionadas a otros servidores, ellos siguen viendo la misma ip, pero no saben que esa ip no esta conectada al servidor que esperan atacar, con esto el DoS se vuelve totalmente inofensivo para el servidor real.
Con esto puede hacer falsos positivos, por ejemplo puedo mostrar que la pagina ha caído, que la DB ha colapsado o que me burlo de ellos, si muestro que la DB o la pagina colapso se quedan conformes, por que la mente conformista humana piensa que logro hacerme algún tipo de daño y no se dan cuenta que los únicos que ven esa pagina web son ellos, son manipulados a mi antojo, ellos incluso podrían poner screens de que la pagina colapsada pero al presumirla los demás se preguntarían y porque yo nunca lo vi, obvio porque nunca paso, solo lo vieron lo que querían ver.
Una demostración de lo que sucede en el siguiente video.
Los ataques DoS o DDoS no son tan malos, la mayoría se mitiga son gran infraestructura, el problema es que el encargado de seguridad del sitio no siempre tiene la experiencia para hacerle frente.
Y ASI TE BURLAS DE UN DoS
Last, en cierta manera tienes parte de razón, podrías desviar paquetes..
ahora last, solo como comentario.
supongamos que tu host actual no es (softlayer) es digamos telmex, que tienes tu propia infraestructura, eso leí hace un tiempo.
supongamos que el atacante tiene una botnet, pueden ser unos 200 a 1000 bots , casi todos shells bots (suposición) tu crees que no te haría daño alguno, quizás si hacen conexiones tipo SYN podrías bloquearlos, pero que sucede si es UDP, y el BW superan los 2 Gbps o Mayores (10 Gbps), dudo mucho que tu ISP soporte ese ataque, por si llegara el ataque a tu IP, sin duda, digamos que saturan tu servidor proxy, pero eso impedirá que el sitio web se vea.
Desde saturamiento de tu server, hasta nullrouting o suspensión de tu servicio.
Podrás tener toda una super infraestructura pero si no cuentas con una combinación de varios ISP’s que te proporcionen todos los Gbps de colectividad que requieras, tu servidor o servicio se vera afectado en un ataque de este tipo.
hay varios ejemplos de Datacenter que han sufrido ataques de varios Gbps y se ven afectados…
securedservers, iweb, softlayer, fdc, etc…
como te decía Last, solo es pura suposición,
saludos.
Eso ya ha pasado antes, pero ninguno de esos ataques ha sido muy efectivo. esto es debido a que la ip que uso realmente no es la ip de mi servidor y no solo tengo una, este momento tengo mas de 10 no dire el numero exacto para que sea dificil calcular la cantidad de bots que harian falta. la cosa es, no tienen el nivel ni el conocimiento para atacar un sitio asi es como tratar de atacar un castillo de aire, no lo pueden tocar
por eso siempre termino asi
por que veo los intentos y me dan gracia, algunos ternura, no hay un ISP que atacar, hay mas de 10 y con uno solo que sobreviva la cueva seguira aqui.
El verdadero servidor tiene una ip 192.168.0.0/16 y las otras ips lo enlazan por VPNs
Last, no se..
creo que es puro alarde…
es como una estrategia (casi como ingeniería social) de tu parte para desmoralizar a tus posibles atacantes…
te comentare algo, hasta ahora nunca me había topado con un atacante que fuera tan persistente, pensé que no existían pero los hay, y mexicanos..
tengo un cliente que esta siendo atacado las 24hrs del día y ya lleva 1 mes el ataque sin parar.
se tuvo que montar el servicio en 3 diferentes servidores todos protegidos contra ddos, si tumba uno ok, pero no podrá tumbar los 3 al mismo tiempo.
esos tres servidores están en 3 diferentes datacenters que dan servicios de anti-ddos , como son staminus, blacklotus, shark..
entonces tumba una IP, pero siguen funcionando las otras dos, y así se la lleva y ya lleva un mes… es muy persistente este chaval..
el ataque alcanza picos de 5 Gbps, lo que me hace pensar que es una shell bots (decenas o cientos de servidores hackeados) a un con esos servicios protegidos un servidor en ocasiones cae … y dirige el ataque a la otra IP, pero la ventaja es que al cesar el ataque hacia una IP que se saturo, este revive de nuevo y así consecutivamente por lo tanto nunca llegan a tirar todo el servicio de un solo golpe.
regresando a el tema de este post,
veo que tu IP es de telmex, quiero pensar que esa IP es la de tu proxy
y estas usando los servicios de dns de no-ip.com (así evitas que te puedan tumbar, haciendo que tus dns dejen de funcionar)
quizás puedas tener 1000 servidores conectados via VPN a tu proxy
pero si la conexión de tu server que esta en: 148.223.215.190 es de 100 Mbps full duplex y dudo mucho que tengas un enlace de 100 Mbps con telmex (ya que es muy caro) tu proxy caerá ante una inundación tipo UDP de un atacante real, (no niños con unos bots o usando programitas) ya que a esos con un simple firewall los mandas a volar.
nada mas necesitas que te generen mas de 100 Mbps de inundación y listo..
a menos que reacciones y cambies la IP de tu dominio a otro servidor que te de mas seguridad, pero si el ataque es mayor, NINGÚN datacenter en el Mundo por unos cuantos cientos de dolares te va a hostear.
necesitarías invertir miles de dolares al mes para protecciones efectivas de Varios Gbps.
Este Tema es algo extenso y me case de escribir…
Te aclaro Last, solo es un simple comentario…
Saludos.
Yo se que es un simple comentario, de hecho esto te lo respondi incluso con un nuevo articulo, lo encontraras aqui https://www.lastdragon.net/?p=674 o en la portada si lo vez en poco tiempo.
es una pena que esa persona mal gaste su dinero en tantos data center, de nuevo insisto y como dicen mis amigos, la ignorancia es cara.
por otro lado, ten en cuenta y tienes razon los enlaces en mexico son caros, con lo que pago por un enlace en mexico bien podria darme para contratar al menos unos 5 datacenter, pero soy muy orgulloso mexicano y como ademas puedo lidear con esto detalles pues no los contrato.
por supuesto no intento bajarle la moral a nadie, se la bajan solos, nunca he podido disuadir a nadie de atacar la cueva, lo dejan de hacer por que se dan cuenta que es atacarme es futil, pero no, no los disuado, de hecho hay un DDoS en progreso mientras escribo esto.
Saludos.
Hola, muy bueno lo que escribes y todo.
Pero se ve que esos atacantes no tienen la mínima idea de que es un DDOS o como realizarlo, es por eso que te burlas de esa manera.
Pero también creeme que si yo te atacara te dejaría sin servidor 🙂
Saludos…
Tanto asi como dejarme sin servidor, esta dificil, tendrias que llevarlo a thrashing pero pos aun asi mis discos duros son nuevos, pero si quieres puedes intentarlo. tienes mi bendicion
Tu Eres Proveedor de hosting o algo?