Mitigar un DDoS con TTL ( Time to Live ) en un host de dominio

En el artículo anterior el comentario de cokee esta interesante

cokee Dice:
Usando: Mozilla Firefox 13.0.1 En: Windows NT
June 25th, 2012 at 2:57 pm
Last, en cierta manera tienes parte de razón, podrías desviar paquetes..

ahora last, solo como comentario.

supongamos que tu host actual no es (softlayer) es digamos telmex, que tienes tu propia infraestructura, eso leí hace un tiempo.
supongamos que el atacante tiene una botnet, pueden ser unos 200 a 1000 bots , casi todos shells bots (suposición) tu crees que no te haría daño alguno, quizás si hacen conexiones tipo SYN podrías bloquearlos, pero que sucede si es UDP, y el BW superan los 2 Gbps o Mayores (10 Gbps), dudo mucho que tu ISP soporte ese ataque, por si llegara el ataque a tu IP, sin duda, digamos que saturan tu servidor proxy, pero eso impedirá que el sitio web se vea.

Desde saturamiento de tu server, hasta nullrouting o suspensión de tu servicio.

Podrás tener toda una super infraestructura pero si no cuentas con una combinación de varios ISP’s que te proporcionen todos los Gbps de colectividad que requieras, tu servidor o servicio se vera afectado en un ataque de este tipo.

hay varios ejemplos de Datacenter que han sufrido ataques de varios Gbps y se ven afectados…
securedservers, iweb, softlayer, fdc, etc…

como te decía Last, solo es pura suposición,

Saludos.

Esta duda también me llego por Messenger, el por que simplemente es tan difícil tirar un simple sitio wordpress, aparte de lo que ya comente y explique en el artículo anterior, esta la línea de defensa de los Time to live

Que Time To Live o TTL

Debido que tengo muchas ips y en un ataque la cambiaria de inmediato, los atacantes, como no las conocen tienen que atacar directamente al host de dominio, por ejemplo www.lastdragon.net

Como saben www en lastdragon.net va a devolver la ip del sitio, el problema con programas como LOIC y demás es que una vez que han marcado el target dispararan como tarados a la única ip que conocen y no la vuelve a preguntar nunca más, solo que mis TTL son muy bajos, cuando hago el desvió de paquete por medio de otra IP también cambio la IP del dominio, mientras el LOIC se queda baboseando eternamente con la vieja ip. Mis visitantes empiezan a entrar por otra, a los DoSeros solo les queda cancelar el ataque e ir sobre la siguiente ip, per yo podría regresar a la vieja ip o irme a una nueva, sería un juego de GATO Y RATON, pero el este GATO siempre estaría atrás por al menos 2 minutos si es que están revisando el TTL o se pueden quedar atacando una IP todo un día sin saber que me burle de ello, por supuesto que habría momentos fuera de línea, pero son momentos de máximo 60 segundos, la mayoría de los lectores ni se entera porque mientras están leyendo un articulo ocurre el drama descrito, para cuando ellos dan click en otro artículo el servidor está listo para resolver y los TTL son solo uno de las muchas líneas defensa contra DDoS, solo que a veces el no hay administradores preparados, si yo fuera el admin de un pagina de gobierno me reiría mucho con los ataques infructuosos, a mi no me pasaría lo que le pasa a muchos administradores por que yo prácticamente tengo estos asuntos como mi pan de cada día y obvio es por falta del conocimiento, hoy día muchos se sienten expertos y no tienen ni la remota idea de que es el modelo OSI tan solo para empezar, menos habrán leído la especificación del TCP/IP y mucho menos transferido un hola en mundo en TCP o UDP

Imaginen el troleo máximo contra los lamos que hacen esto, podría redirigir el trafico a una agencia federal para que al menos algunos sean investigados por el ataque o peor aun si tienen un foro o pagina web o un sitio que admiran, hacer que su DDoS derribe sus propios sitios favoritos mientras me rio por la troleada.

Un ejemplo más grafico de lo que acabo de explicar. En el siguiente video asumiremos que el ping es un ataque DDoS.

Mientras el ping se sostiene en la ip que resuelve www.lastdragon.net, la re direcciono a otra ip aprovechando el TTL bajo, el ping que ya resolvió la primera ip se queda ahí pingando a la vieja ip pero el sitio web ya no estaría ahí, estaría en otra ip y si luego otros atacantes encuentran la nueva ip, de nuevo migrare a otra ip, dividiendolos a los atacantes, si eran 1,000 en total por poner un numero, 250 atacaran una ip, otras 300 a otra ip, finalmente dividendo y venciendo lo mismo aplicaría para los paquetes UDP, ya que estos irían directamente a una ip donde el sitio web ya no esta

14 Comments

Add a Comment

Comment spam protected by SpamBam