Mitigar un DDoS con TTL ( Time to Live ) en un host de dominio
By: Date: junio 26, 2012 Categories: Consultoria y Manuales,Hackers, Tools y Retos

En el artículo anterior el comentario de cokee esta interesante

cokee Dice:
Usando: Mozilla Firefox 13.0.1 En: Windows NT
June 25th, 2012 at 2:57 pm
Last, en cierta manera tienes parte de razón, podrías desviar paquetes..

ahora last, solo como comentario.

supongamos que tu host actual no es (softlayer) es digamos telmex, que tienes tu propia infraestructura, eso leí hace un tiempo.
supongamos que el atacante tiene una botnet, pueden ser unos 200 a 1000 bots , casi todos shells bots (suposición) tu crees que no te haría daño alguno, quizás si hacen conexiones tipo SYN podrías bloquearlos, pero que sucede si es UDP, y el BW superan los 2 Gbps o Mayores (10 Gbps), dudo mucho que tu ISP soporte ese ataque, por si llegara el ataque a tu IP, sin duda, digamos que saturan tu servidor proxy, pero eso impedirá que el sitio web se vea.

Desde saturamiento de tu server, hasta nullrouting o suspensión de tu servicio.

Podrás tener toda una super infraestructura pero si no cuentas con una combinación de varios ISP’s que te proporcionen todos los Gbps de colectividad que requieras, tu servidor o servicio se vera afectado en un ataque de este tipo.

hay varios ejemplos de Datacenter que han sufrido ataques de varios Gbps y se ven afectados…
securedservers, iweb, softlayer, fdc, etc…

como te decía Last, solo es pura suposición,

Saludos.

Esta duda también me llego por Messenger, el por que simplemente es tan difícil tirar un simple sitio wordpress, aparte de lo que ya comente y explique en el artículo anterior, esta la línea de defensa de los Time to live

Que Time To Live o TTL

Debido que tengo muchas ips y en un ataque la cambiaria de inmediato, los atacantes, como no las conocen tienen que atacar directamente al host de dominio, por ejemplo www.lastdragon.net

Como saben www en lastdragon.net va a devolver la ip del sitio, el problema con programas como LOIC y demás es que una vez que han marcado el target dispararan como tarados a la única ip que conocen y no la vuelve a preguntar nunca más, solo que mis TTL son muy bajos, cuando hago el desvió de paquete por medio de otra IP también cambio la IP del dominio, mientras el LOIC se queda baboseando eternamente con la vieja ip. Mis visitantes empiezan a entrar por otra, a los DoSeros solo les queda cancelar el ataque e ir sobre la siguiente ip, per yo podría regresar a la vieja ip o irme a una nueva, sería un juego de GATO Y RATON, pero el este GATO siempre estaría atrás por al menos 2 minutos si es que están revisando el TTL o se pueden quedar atacando una IP todo un día sin saber que me burle de ello, por supuesto que habría momentos fuera de línea, pero son momentos de máximo 60 segundos, la mayoría de los lectores ni se entera porque mientras están leyendo un articulo ocurre el drama descrito, para cuando ellos dan click en otro artículo el servidor está listo para resolver y los TTL son solo uno de las muchas líneas defensa contra DDoS, solo que a veces el no hay administradores preparados, si yo fuera el admin de un pagina de gobierno me reiría mucho con los ataques infructuosos, a mi no me pasaría lo que le pasa a muchos administradores por que yo prácticamente tengo estos asuntos como mi pan de cada día y obvio es por falta del conocimiento, hoy día muchos se sienten expertos y no tienen ni la remota idea de que es el modelo OSI tan solo para empezar, menos habrán leído la especificación del TCP/IP y mucho menos transferido un hola en mundo en TCP o UDP

Imaginen el troleo máximo contra los lamos que hacen esto, podría redirigir el trafico a una agencia federal para que al menos algunos sean investigados por el ataque o peor aun si tienen un foro o pagina web o un sitio que admiran, hacer que su DDoS derribe sus propios sitios favoritos mientras me rio por la troleada.

Un ejemplo más grafico de lo que acabo de explicar. En el siguiente video asumiremos que el ping es un ataque DDoS.

Mientras el ping se sostiene en la ip que resuelve www.lastdragon.net, la re direcciono a otra ip aprovechando el TTL bajo, el ping que ya resolvió la primera ip se queda ahí pingando a la vieja ip pero el sitio web ya no estaría ahí, estaría en otra ip y si luego otros atacantes encuentran la nueva ip, de nuevo migrare a otra ip, dividiendolos a los atacantes, si eran 1,000 en total por poner un numero, 250 atacaran una ip, otras 300 a otra ip, finalmente dividendo y venciendo lo mismo aplicaría para los paquetes UDP, ya que estos irían directamente a una ip donde el sitio web ya no esta

14 thoughts on “Mitigar un DDoS con TTL ( Time to Live ) en un host de dominio

  1. Mozilla Firefox 13.0.1 Windows 7

    Last

    Te responderé con esto:

    eso podría funcionar cuando es un ataque normal, un simple DoS.

    ahora con un DDos, con unos scripts la mayoría basados en perl, instalado en servidores hackeados que hacen “consulta de DNS cada 5 segundos” , cada bot te genera miles de conexiones, y una botnet te puede generar entre cientos de miles o varios millones de paquetes por segundo…

    La solución que tu planteas no serviría de nada.
    nada de lo que hagas te serviría, Last los Ddos grandes son imparables.
    es mas con un ddos de mas de 100 Mbps tendrías problemas.

    citando:

    “si eran 1,000 en total por poner un numero, 250 atacaran una ip, otras 300 a otra ip, finalmente dividendo y venciendo lo mismo aplicaría para los paquetes UDP, ya que estos irían directamente a una ip donde el sitio web ya no esta”

    a un con 10 shells bots que te estén atacando esos 10 shells bots podrían generar un ataque de 1 Gbps, con eso Last muere tu server(s) sobre todo si esta en México.

    Saludos.

  2. Internet Explorer 9.0 Windows 7

    creo que no estas entendiendo, debe ser por que no es una configurcion muy comun, mi servidor podria funcionar hasta con 256 kbps por que no esta en internet, le llegan unicamente los paquetes validos, las ips homologadas estan en varios isp y algunos son en usa y otros paises y algunas si son incluso a 1Gbps, la mayoria la tengo a 100Mbs, pro que no las estoy usando, es muy facil. por que en este momento no lo necesito

    nunca he visto ninguno de esos script en perl, no digo que no se puedan escribir, pero yo no he visto ese tipo de programa por que no es lo comun, por cierto tan bien puedes hacer lo inverso.

    por un 5 minutos puedes subir a un ttl alto y luego cambiarte, como resultado aunque el script checara cada segundo el dns siempre obtendria la misma ip, habrias invalidado con eso todas las maquinas, el punto debil es que todos los usuarios legitimos que conecten durante esos 5 minutos tampoco podran seguir a la nueva ip, pero los demas usuarios del resto del dia si pueden, el ttl puede ser desde 1 segundo hasta un año

    alguna vez si hay oportunidad te lo mostrare en vivo

  3. Mozilla Firefox 13.0.1 Windows 7

    Last, sin palabras no nos logramos entender, quizás sea muy tonto para explicar

    si te funciona lo que haces, síguelo haciendo…
    lo único que te digo que yo se de que estoy hablando tengo muchos años de experiencia en ataques ddos y mitigaciones y una solución de 2 pesos como la que propones no soluciona un problema real de ddos attack.
    de lo contrario NO existirían empresas especializadas con servicios realmente costosos de miles de dolares por mes, para dar un servicio de mitigación en tiempo real para ddos.

    saludos…

  4. Mozilla Firefox 12.0 Ubuntu Linux

    Cokee, no dudo que tengas muchos años en el negocio de la tecnologia, yo tambien tengo muchos años, tal vez la unica diferencia es que tenemos diferentes formas de ver el problema.

    No solo escribo aqui cosas, la mayoria de ellas son basados en casos de exito, es decir, esto que estoy escribiendo aqui ya se implemento en algun momento y funciono contra ataques descomunales de DDoS

    Por que existen empresas especializadas, muy simple no todos tienen el dinero para pagar mis honorarios, no todos tienen el dinero para tener un departamento de sistemas con gente realmente bien preparada, muchas personas solo desarrollan paginas no saben ni les interesa tener sites, datacenters, ni nada parecedidos, ellos solo saben escribir codigo y esperar que todo salga bien, delegando por medio de pago la seguridad a otros.

    Siguiendo la logica de lo anterior, yo mismo tengo mi nube privada, para que tener mi nube privada si existen empresas especializadas en dar servicio de nube, la respuesta es muy simple.

    Por que se como hacerlo, por que puedo y por que tengo los recurosos para hacerlo, asi y de esa forma puedo hacer lo que digo aqui en el articulo para cuando otra empresa quiera salir bien librada, puede recurrir a esos sitios especializados o pueden tambien contratar a tu servidor, Last Dragon =)

  5. Google Chrome 19.0.1084.56 Windows 7

    este servicio tiene hasta 11 ips diferentes hosteados en diferente IP
    es como un host cloud de 50 hosts jajaja pobre lammer escondido como perra xD

    coloca una ip verdadera lammer y veras como te destruyo LAMMER soy de www cyberlocos org ahora somos cl-security net

  6. Internet Explorer 9.0 Windows 7

    ciberlocosa. jaja y no quieres
    un root con pass. 123456.

    No importa como te defiendas. el resultado final siempre
    es sobrevivir

  7. Google Chrome 19.0.1084.56 Linux

    Ese niñato de arriba no es de Cyberlocos, es un tipico kiddie de cascanola que se hacen pasar por ellos.

    Esas personas no deben de existir, solo hacen quedar mal a la Seguridad Informatica.

  8. Google Chrome 20.0.1132.57 Windows 7

    Distribución de carga por round robin dns, es un método bastante funcional, para mitigar ciertos ataques, claro… Ahora asi uses snort + balanceo + proxy inverso + dns round robin + hardening contra un Ddos bien elaborado, no lograras gran resultado, los Ddos a nivel de aplicación son fáciles de mitigar, el problema es cuando te enfrentas a anchos de bandas de 25gbps+, en la actualidad una botnet común cuenta con 5gbps+ aprox… cantidades que con esas soluciones no lograras parar, efectividad solo se lograría a nivel de isp.

    Saludos

  9. Internet Explorer 9.0 Windows 7

    ysm51

    Pero si ya me he enfrentado a eso, es que esto no es Round Robin, parece pero no..

    Analogicamente

    Si el DDoS es una avalancha

    Que baja del lado norte de la montaña y yo estoy del lado sur, no me importa que tan grande sea la avalancha, por que estoy del lado opuesto, solo me estare burlando de los DoSers

  10. Google Chrome 20.0.1132.57 Windows 7

    Disculpa last, me acabo de tomar la molestia de leer el articulo, solo al ver el titulo pensé que proponías el Round Robin… Esta técnica seria bastante funcional para entornos como este, sitios personales donde no hay gran perdidas económicas si el sitio sufre un downtime, puedes lograr un nullrouting efectivo y te da tiempo para implementar otras medidas, el único inconveniente que vería es que las personas que intenten ingresar en el tiempo del cambio de ese ttl corto al ttl largo se pueden ver afectados, otra cosa, es que un ataque ddos del tipo ad-hoc con un simple flushdns se saltarian el metodo.

    Saludos

  11. Internet Explorer 9.0 Windows 7

    Eso es definitivo, un ataque a la medida significa que se ha estudiado el entorno a atacar. muy pero muy pocos ataques son a ese nivel, de hecho la mayoria usa programas para hacer botnet de tercero o da click en loics sin saber nada de informatica y mucho menos de redes

    el flushdns solo funciona en un entorno windows, pero no tampoco fnucionaria con un ttl alto por que el servidor DNS no es la misma maquina es el modem del infinitum o del ISP , asi que aunque hagan un flushdns, Windows volveria apreguntar de nuevo pero le preguntaria a un DNS que sigue teniendo en su cache la vieja ip, si es infinitum se arregla reiniciando el modem pero los tiempo de carga de un modem son de 3 o 4 minutos, lo que hace que el DDoS pierda fuerza, para cuando ya haya iniciado el modem el administrador tiene tiempo de volver a burlarse dandoles otro ttl alto

    Como bien dices solo un un ataque a la medida es peligroso realmente, pero de esos casi no se ven, realmente los hacktivistas como anonynmous no son profsionales, solo son usuarios comunes sin conocimiento alguno sobre los protocolos que tratan de atacar, si alguna vez han tenido exito es por que los administradores de red so ntan ignorantes de sus recursos como los que lo atacan…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *