14 nov. 2009

Todo sobre ataques DoS

El famoso ataque DoS (Denial of service) se realiza a un sistema de computadoras o red para causar que un servicio o recurso sea inaccesible a los usuarios legítimos.

Se caracterizan por su fácil ejecución y su principal rasgo es la dificultad con la que pueden ser mitigados.

Un ataque de este tipo a un servidor conectado a Internet tiene como objetivo agotar sus recursos, ya sean de ancho de banda o de procesamiento, para que sea (prácticamente) imposible acceder a él.

Realizar un ataque de estos esta a dispocision de caulquiera, siempre y cuando haya encontrado una vulnerabilidad que le permita hacer un DoS, o sino, tener un ancho de banda (Internet) mayor al IP atacada.

¿DDoS?
Un ataque DDoS es aquel que es realizado por muchas pcs atacantes, de modo de intensificar el daño producido.

Generalmente, los DDoS son producidos por botnets, una red de pcs "zombies" que actuan bajo el dominio de un hacker/lammer/newbie/etc que les dan la orden de realizar el ataque.

TIPOS DE ATAQUES DoS:
  • Ataque LAND

    Un ataque LAND se produce al enviar un paquete TCP/SYN falsificado con la dirección del servidor objetivo como si fuera la dirección origen y la dirección destino a la vez. Esto causa que el servidor se responda a sí mismo continuamente acabe desbordándose y al final falle.
  • Ataque Conecction Flood

    Todo servicio de Internet orientado a conexión (la mayoría) tiene un límite máximo en el número de conexiones simultaneas que puede tolerar. Una vez que se alcanza ese límite, no se admitirán conexiones nuevas.

    Así, por ejemplo, un servidor Web puede tener capacidad para atender a mil usuarios simultáneos. Si un atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la capacidad del servidor.

    Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita intentar conexiones nuevas constantemente, como ocurre con el caso del SYN flood.

    La máquina atacada tiene constancia de la identidad real del atacante. Al menos, si sus administradore s merecen su sueldo y saben qué comandos utilizar.
  • Ataque SYN Flood

    Cuando una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto a la petición real. Estos son los paquetes SYN/ACK.

    Para realizar una conexion se siguen los siguientes pasos:

    El cliente envía una Flags SYN, si el servidor acepta la conexión este debería responderle con un SYN/ACK luego el cliente debería responder con una Flags ACK.

    La inundación SYN envía un flujo de paquetes TCP/SYN, muchas veces con la dirección de origen falsificada.

    Cada uno de los paquetes recibidos es tratado por el destino como una petición de conexión, causando que el servidor intente establecer una conexión al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del proceso de establecimient o de conexión TCP de 3 vías).

    Sin embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado la conexión, nunca llega la respuesta.

    Estos intentos de conexión consumen recursos en el servidor y limitan el número de conexiones que se pueden hacer, reduciendo la disponibilidad del servidor para responder peticiones legítimas de conexión.
  • Ping de la Muerte

    Aclaro que este metodo ya no funciona mas, a no ser que tu [email protected] tenga una PI o PII y Windows 98..

    Este ataque es muy simple. Se trata de enviar infinitos paquetes ICMP (Ping) de 56 k, a una ip. La ip atacada, responde con un paquete ICMP Echo reply (Pong). Al enviar muchos ICMP, esto agotaria el ancho de banda.

    Esto depende mucho de la relacion entre atacante/atacado, porque si el atacante tiene mayor ancho de banda, obviamente lo agotara rapido, porque el atacado no puede controlar el trafico.

    Pero repito, esto no funciona mas..
  • Ataque Smurf

    El ataque smurf utiliza una característica de Internet: broadcast.

    Toda red tiene lo que se denomina una dirección de broadcast. Los datagramas enviados a esa dirección son recibidos por todas las máquinas en la red local. Ello permite, por ejemplo, que una máquina localice un servidor proporcionando un servicio haciendo una pregunta a la red, no preguntando máquina por máquina.

    El problema de la dirección broadcast es que suele estar disponible también para usuarios de fuera de la red local, en particular para todo Internet. Ello permite, por ejemplo, que un atacante envíe un pequeño datagrama a toda una red remota, y que las máquinas de dicha red respondan todas a la vez, posiblemente con un datagrama de mayor tamaño.

    Si la red sondeada tiene 150 máquinas activas, la respuesta es 150 veces más intensa. Es decir, se consigue un efecto multiplicador.

    De esta manera, se envia paquetes, generalmente ICMP, a grandes redes desde una direccion de origen a la que queramos atacar (IP Spoofeada). Entonces las pcs de la red enviaran su respuesta de gran tamaño a la IP atacada y haran un Ataque "SYN Flood", agotando su ancho de banda.
  • Ataque de DNS Amplification

    Este es bastante similar al anterior:

    El atacante envía una alta cantidad de peticiones con una dirección IP falsificada (spoof) al DNS que permite recursión, el DNS procesa estas peticiones como si éstas fueran válidas mandando una respuesta al sistema al cual se quiere atacar, es decir al sistema víctima.

    Cuando estas peticiones alcanzan un volumen importante pueden inundar al sistema víctima de repuestas del DNS a las peticiones que se le realizan.

    Este ataque es llevado a cabo gracias a errores en la configuración del DNS y es llamado amplification puesto que los DNS al reflejar el ataque, potencian el nivel de éste hacia un blanco en especifico a causa de que las respuestas del servidor de nombres son de un tamaño considerableme nte mayor que las peticiones que se le realizan causando con esto, en ocasiones, la caída del servicio y con ello la negación del mismo.
Ataque Mediante Iframe en HTML
 Ese metodo consiste en crear un iframe en html:

<iframe height="X" src="***.***.***.***" width="X"> </iframe>

Con esto se logra crear una "ventanita" a otra pagina, pero ojo, Que pasa si creamos 1000 ventanitas?

Ahi tenemos un ataque DoS perfecto, solo hay que subirlo a alguna web, o entrar uno desde el bloc de notas y listo.

Funciona bastante bien, pero consume muchos recursos.
  • Ataque a Servidores IRC

    No es un gran ataque, pero suele ser efectivo.

    Consiste en conectarse al IRC mediante muchos bots, y hacerlos hablar a una hora determinada. Eso inundaria el canal y dejaria de funcionar correctamente, ya que se pasaria de los limites los mensajes que puede procesar el servidor.

    Todo depende de la cantidad de bots que usemos.
Detectar un Ataque DoS
 Usando el comando netstat

netstat -an | grep :80 | sort

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

netstat -n -p|grep SYN_REC | wc -l

netstat -lpn|grep :80 |awk '{print $5}'|sort

netstat -an | grep :80 | awk '{ print $5 }' | awk -F: '{ print $1 }' | sort | uniq -c | sort -n

Ejemplo de ataque SYN_RECV o SYN Flooding al Apache (puerto 80)

192.168.0.3 es la ip del servidor apache y 192.168.0.105 es la ip del "atacante"

tcp        0      0 192.168.0.3:80          192.168.0.5:60808     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60761     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60876     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60946     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60763     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60955     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60765     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60961     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60923     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61336     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61011     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60911     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60758     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60828     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61114     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61074     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60826     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60959     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60900     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60940     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60920     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60825     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60945     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60913     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61009     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60755     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60904     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61583     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60910     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60915     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60827     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61458     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60908     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61007     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60927     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60951     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60942     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61113     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60909     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60822     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60894     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60952     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60928     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60936     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60906     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61466     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60919     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60914     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60926     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60939     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60931     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60831     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60823     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60954     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60916     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60963     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60947     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61006     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60933     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60950     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60895     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60917     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61480     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60935     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60960     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60767     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60918     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60821     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61077     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60905     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61517     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60893     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60953     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60903     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61439     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61337     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61545     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61299     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61010     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60930     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60744     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60929     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60754     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61008     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61116     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60811     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60807     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60938     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60764     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60873     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60817     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61550     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60748     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60956     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60753     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61115     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60741     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61075     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60948     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60829     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60943     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61338     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60762     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60824     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60830     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61535     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60898     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60815     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60962     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60957     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60944     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60921     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60759     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60897     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61518     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60958     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60922     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60937     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60875     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60766     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60751     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60768     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60743     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61076     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60912     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60816     SYN_RECV

Mirando el server-status del Apache
Si miramos el server-status del apache veremos conexiones en estado "Reading" ("R" Reading Request)



El problema es que cuando el número de conexiones "Reading" llena el "MaxClients" del Apache no acepta nuevas peticiones, por lo que los nuevos clientes, aunque sean legítimos, no serán aceptados.
Mirando los logs del mod_evasive

Jun 22 18:24:04 lan mod_evasive[3835]: Blacklisting address 82.228.169.50: possible attack.
Jun 22 18:24:45 lan mod_evasive[3600]: Blacklisting address 81.206.164.163: possible attack.
Jun 22 18:25:46 lan mod_evasive[3589]: Blacklisting address 155.232.250.19: possible attack.
Jun 22 18:27:23 lan mod_evasive[3671]: Blacklisting address 83.227.217.2: possible attack.
Jun 22 18:28:10 lan mod_evasive[3673]: Blacklisting address 68.187.171.89: possible attack.
Jun 22 18:29:57 lan mod_evasive[3605]: Blacklisting address 70.143.2.130: possible attack.
Jun 22 18:30:45 lan mod_evasive[3803]: Blacklisting address 69.157.93.88: possible attack.
Jun 22 18:31:45 lan mod_evasive[10397]: Blacklisting address 146.64.81.22: possible attack.
Jun 22 18:35:01 lan mod_evasive[3794]: Blacklisting address 66.38.192.134: possible attack.
Jun 22 18:35:15 lan mod_evasive[3553]: Blacklisting address 81.190.204.64: possible attack.
Jun 22 18:40:10 lan mod_evasive[16602]: Blacklisting address 64.231.39.129: possible attack.
Jun 22 18:48:04 lan mod_evasive[16479]: Blacklisting address 84.99.195.100: possible attack.
Jun 22 18:48:12 lan mod_evasive[16467]: Blacklisting address 201.0.10.142: possible attack.
Jun 22 18:52:57 lan mod_evasive[16573]: Blacklisting address 219.95.39.242: possible attack.
Jun 22 18:53:07 lan mod_evasive[16534]: Blacklisting address 86.129.3.91: possible attack.
Jun 22 18:53:26 lan mod_evasive[16527]: Blacklisting address 62.254.0.32: possible attack.
Jun 22 18:54:41 lan mod_evasive[30473]: Blacklisting address 24.196.199.191: possible attack.
Jun 22 18:55:17 lan mod_evasive[30520]: Blacklisting address 142.161.157.227: possible attack.
Jun 22 18:55:24 lan mod_evasive[30461]: Blacklisting address 65.92.145.133: possible attack.
Jun 22 18:55:33 lan mod_evasive[30509]: Blacklisting address 88.111.227.200: possible attack.
Jun 22 18:56:13 lan mod_evasive[30473]: Blacklisting address 69.199.94.227: possible attack.
Jun 22 18:57:45 lan mod_evasive[30517]: Blacklisting address 86.125.135.212: possible attack.
Jun 22 18:57:54 lan mod_evasive[30479]: Blacklisting address 84.192.141.65: possible attack.
Jun 22 18:58:46 lan mod_evasive[30527]: Blacklisting address 83.140.97.106: possible attack.
Jun 22 18:59:31 lan mod_evasive[30469]: Blacklisting address 82.173.216.196: possible attack.
Jun 22 19:00:33 lan mod_evasive[30517]: Blacklisting address 80.176.157.245: possible attack.
Jun 22 19:00:38 lan mod_evasive[30470]: Blacklisting address 86.133.102.51: possible attack.
Jun 22 19:01:35 lan mod_evasive[30870]: Blacklisting address 24.42.134.253: possible attack.
Jun 22 19:01:48 lan mod_evasive[30509]: Blacklisting address 62.254.0.34: possible attack.
Jun 22 19:02:57 lan mod_evasive[31009]: Blacklisting address 81.227.219.125: possible attack.
Jun 22 19:03:29 lan mod_evasive[31056]: Blacklisting address 172.209.173.153: possible attack.
Jun 22 19:05:07 lan mod_evasive[31385]: Blacklisting address 84.6.12.110: possible attack.
Jun 22 19:06:52 lan mod_evasive[31008]: Blacklisting address 85.227.144.249: possible attack.
Jun 22 19:06:56 lan mod_evasive[31263]: Blacklisting address 213.222.156.222: possible attack.
Jun 22 19:07:13 lan mod_evasive[31393]: Blacklisting address 62.163.143.166: possible attack.
Jun 22 19:07:37 lan mod_evasive[31021]: Blacklisting address 62.135.101.73: possible attack.
Jun 22 19:08:03 lan mod_evasive[31251]: Blacklisting address 82.201.249.69: possible attack.
Jun 22 19:08:17 lan mod_evasive[31200]: Blacklisting address 81.62.65.53: possible attack.
Jun 22 19:11:04 lan mod_evasive[31263]: Blacklisting address 82.39.148.204: possible attack.
Jun 22 19:12:37 lan mod_evasive[31241]: Blacklisting address 213.222.154.13: possible attack.
Jun 22 19:13:54 lan mod_evasive[31027]: Blacklisting address 81.51.79.4: possible attack.
Jun 22 19:24:04 lan mod_evasive[31041]: Blacklisting address 84.221.118.156: possible attack.
Jun 22 19:48:47 lan mod_evasive[3400]: Blacklisting address 62.135.101.192: possible attack.
Jun 22 19:53:04 lan mod_evasive[31031]: Blacklisting address 62.30.33.13: possible attack.
Jun 22 19:54:32 lan mod_evasive[31016]: Blacklisting address 72.14.194.18: possible attack.
Jun 22 18:24:04 lan mod_evasive[3835]: Blacklisting address 82.228.169.50: possible attack.
Jun 22 18:24:45 lan mod_evasive[3600]: Blacklisting address 81.206.164.163: possible attack.
Jun 22 18:25:46 lan mod_evasive[3589]: Blacklisting address 155.232.250.19: possible attack.
Jun 22 18:27:23 lan mod_evasive[3671]: Blacklisting address 83.227.217.2: possible attack.
Jun 22 18:28:10 lan mod_evasive[3673]: Blacklisting address 68.187.171.89: possible attack.
Jun 22 18:29:57 lan mod_evasive[3605]: Blacklisting address 70.143.2.130: possible attack.
Jun 22 18:30:45 lan mod_evasive[3803]: Blacklisting address 69.157.93.88: possible attack.
Jun 22 18:31:45 lan mod_evasive[10397]: Blacklisting address 146.64.81.22: possible attack.
Jun 22 18:35:01 lan mod_evasive[3794]: Blacklisting address 66.38.192.134: possible attack.
Jun 22 18:35:15 lan mod_evasive[3553]: Blacklisting address 81.190.204.64: possible attack.
Jun 22 18:40:10 lan mod_evasive[16602]: Blacklisting address 64.231.39.129: possible attack.
Jun 22 18:48:04 lan mod_evasive[16479]: Blacklisting address 84.99.195.100: possible attack.
Jun 22 18:48:12 lan mod_evasive[16467]: Blacklisting address 201.0.10.142: possible attack.
Jun 22 18:52:57 lan mod_evasive[16573]: Blacklisting address 219.95.39.242: possible attack.
Jun 22 18:53:07 lan mod_evasive[16534]: Blacklisting address 86.129.3.91: possible attack.
Jun 22 18:53:26 lan mod_evasive[16527]: Blacklisting address 62.254.0.32: possible attack.
Jun 22 18:54:41 lan mod_evasive[30473]: Blacklisting address 24.196.199.191: possible attack.
Jun 22 18:55:17 lan mod_evasive[30520]: Blacklisting address 142.161.157.227: possible attack.
Jun 22 18:55:24 lan mod_evasive[30461]: Blacklisting address 65.92.145.133: possible attack.
Jun 22 18:55:33 lan mod_evasive[30509]: Blacklisting address 88.111.227.200: possible attack.
Jun 22 18:56:13 lan mod_evasive[30473]: Blacklisting address 69.199.94.227: possible attack.
Jun 22 18:57:45 lan mod_evasive[30517]: Blacklisting address 86.125.135.212: possible attack.
Jun 22 18:57:54 lan mod_evasive[30479]: Blacklisting address 84.192.141.65: possible attack.
Jun 22 18:58:46 lan mod_evasive[30527]: Blacklisting address 83.140.97.106: possible attack.
Jun 22 18:59:31 lan mod_evasive[30469]: Blacklisting address 82.173.216.196: possible attack.
Jun 22 19:00:33 lan mod_evasive[30517]: Blacklisting address 80.176.157.245: possible attack.
Jun 22 19:00:38 lan mod_evasive[30470]: Blacklisting address 86.133.102.51: possible attack.
Jun 22 19:01:35 lan mod_evasive[30870]: Blacklisting address 24.42.134.253: possible attack.
Jun 22 19:01:48 lan mod_evasive[30509]: Blacklisting address 62.254.0.34: possible attack.
Jun 22 19:02:57 lan mod_evasive[31009]: Blacklisting address 81.227.219.125: possible attack.
Jun 22 19:03:29 lan mod_evasive[31056]: Blacklisting address 172.209.173.153: possible attack.
Jun 22 19:05:07 lan mod_evasive[31385]: Blacklisting address 84.6.12.110: possible attack.
Jun 22 19:06:52 lan mod_evasive[31008]: Blacklisting address 85.227.144.249: possible attack.
Jun 22 19:06:56 lan mod_evasive[31263]: Blacklisting address 213.222.156.222: possible attack.
Jun 22 19:07:13 lan mod_evasive[31393]: Blacklisting address 62.163.143.166: possible attack.
Jun 22 19:07:37 lan mod_evasive[31021]: Blacklisting address 62.135.101.73: possible attack.
Jun 22 19:08:03 lan mod_evasive[31251]: Blacklisting address 82.201.249.69: possible attack.
Jun 22 19:08:17 lan mod_evasive[31200]: Blacklisting address 81.62.65.53: possible attack.
Jun 22 19:11:04 lan mod_evasive[31263]: Blacklisting address 82.39.148.204: possible attack.
Jun 22 19:12:37 lan mod_evasive[31241]: Blacklisting address 213.222.154.13: possible attack.
Jun 22 19:13:54 lan mod_evasive[31027]: Blacklisting address 81.51.79.4: possible attack.
Jun 22 19:24:04 lan mod_evasive[31041]: Blacklisting address 84.221.118.156: possible attack.
Jun 22 19:48:47 lan mod_evasive[3400]: Blacklisting address 62.135.101.192: possible attack.
Jun 22 19:53:04 lan mod_evasive[31031]: Blacklisting address 62.30.33.13: possible attack.
Jun 22 19:54:32 lan mod_evasive[31016]: Blacklisting address 72.14.194.18: possible attack.

Si es un DDoS muy distribuido enseguida notaremos que muchas ip's diferente Dosean el Apache. 

Mirando los logs del syslog (del kernel)

Aclaro: Syslog es un estándar de facto para el envío de mensajes de registro en una red informática IP. Por syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los mensajes de registro.

May 17 13:39:01 lan kernel: possible SYN flooding on port 80. Sending cookies.
May 17 13:39:02 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:35 lan kernel: NET: 4 messages suppressed.
May 17 13:39:35 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:38 lan kernel: NET: 1 messages suppressed.
May 17 13:39:38 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:43 lan kernel: NET: 6 messages suppressed.
May 17 13:39:43 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:48 lan kernel: NET: 4 messages suppressed.
May 17 13:39:48 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:52 lan kernel: NET: 9 messages suppressed.
May 17 13:39:52 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:57 lan kernel: NET: 15 messages suppressed.
May 17 13:39:57 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:40:01 lan kernel: possible SYN flooding on port 80. Sending cookies

Líneas a mirar:

possible SYN flooding on port 80. Sending cookies.

Autor: Shell Root
Fuente: http://comunidad.dragonjar.org/

Author & Editor

Ingeniero Civil en Computación (Universidad de Chile FCFM) y Diplomado en Gestión y Evaluación de Proyectos TI (Universidad de Chile FEN). Actualmente trabajo como Project Manager en varios proyectos y como asesor tecnológico para empresas.

1 Notaciones:

Nota: solo los miembros de este blog pueden publicar comentarios.

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (25) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (1) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (130) Hack Tips (63) Hacked (6) Hacking (18) Hacking Hardware (5) HashCat (1) Herramientas (121) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (1) Leaks (21) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (193) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (145) Seguridad Web (140) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (17) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (66) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.