#4:
El titular sería más bien "Cómo se defendió ACENS de la SGAE", no?
#19:
El objetivo de un ataque DDOS es que tu web no sea accesible, ACENS desenruto a www.SGAE.es para evitar problemas a otras webs que comparten Hosting, cosa que hizo que la página de la SGAE no fuera accesible.
Así que
Anonymous 1 SGAE 0
#7:
¿Defensa? ¿A eso se le llama defensa hoy en día? Eso no es una defensa, es una RENDICIÓN.
No la voto como tal pero la considero posiblemente irrelevante, por tanto no meneo. La estrategia de la empresa de hosting no consigue impedir en absoluto el objetivo de Anonymous: La web de la SGAE, down.
Para Anonymous: ¡Felicidades!¡Buen trabajo!
Para Teddy & company: Jodeos.
#2:
Soy un advenedizo de la informática pero eso ¿no es lo mismo que matar al perro para acabar con las pulgas?. La han desconectado de antemano, ¿inteligente?; mas bien obvio.
En este pais somos unos genios.
#1:
Si llamamos ingenioso a hacer lo obvio...en fin...
#13:
#11 Me parece muy bien que vayas insultando sin venir a cuento y sin justificar nada, porque eso me demuestra la clase de persona que eres y que no merece la pena seguir hablando contigo.
A mamarla!
#80:
Después de leer todos los comentarios, me he dado cuenta que Menéame está lleno de no se cómo llamaros, valientes, hackers, expertos mundiales, etc.
Partamos del primer concepto básico, la idea del DDoS. El éxito del DDoS depende no de saturar equipos si no de saturar conexiones. La fibra es muy hija de puta, tiene un caudal, X bytes por segundo. Si tu mandas X + 1, ese último byte no va a poder enviarse. Y esto es en lo que se fundamenta el DDoS, por mucha inversión que hagas en equipos, al final todos los equipos (y con fibra anteriormente me refiería a toda la infraestructura de conexión: fibras, routers, switchs, etc.) tienen un límite de paquetes que pueden procesar, sean descartados o no.
Respecto al uso de firewalls y demás, bien. O bloqueas todo, que viene a ser lo mismo que desenrutar la IP, o tienes un problema, que es caracterizar el tráfico. Y precisamente el DDoS es muy jodido de combatir porque si está bien hecho es muy dificil diferenciar el tráfico legítimo del que no lo es. Y más con ACLs, que normalmente las expresiones de definición de reglas están muy muy limitadas. El trabajo sería de un IPS y no de las ACLs del router.
Y volvemos al punto de partida, ¿Qué diferencia tráfico ilegítimo del legítimo?
* Si detectamos tráfico UDP, lo podemos filtrar.
* Si detectamos demasiadas ACKs sin respuesta SYN/ACK de TCP podemos filtrar esas IPs.
* Si detectamos conexiones TCP inactivas durante un periodo razonable de tiempo las podemos cerrar y filtrar esas IPs.
* Si detectamos peticiones HTTP que accedan repetidamente a la misma URL nuevamente las podemos filtrar.
* Podemos filtrar asimismo aquellas IP que hagan peticiones HTTP de documentos HTML sin pedir CSS, imágenes, Javascript y demás basuras que suele haber en las webs.
Prácticamente con estas 5 reglas detectaríamos la mayoría del tráfico proveniente de un DDoS. Pero ¿Qué pasa si simultánemanete 1.000.000 de internatuas (por decir cifras gordas, una paja mental, no se si esa cifra se aproximará a la del ataque de Anonymous o no) acuerdan acceder con Firefox a la web de Pepito a las 17:00 UTC? Pues que a pesar de ser un DDoS, el tráfico es IMPOSIBLE de diferenciar de un tráfico legítimo y van a saturar tus sistemas. De hecho, es IMPOSIBLE de diferenciar porque es tráfico legítimo usado con un propósito ilegítimo.
#56 Caudal de un CISCO ASA5520 según su web: por encima de los 150 Mbps y 25000 sesiones concurrentes. Ataca con 200 Mbps y 30000 sesiones concurrentes y el IPS queda saturado.
Ante ataques muy masivos que saturen las capacidades físicas de tus equipos lo mejor es claudicar no para proteger la web atacada, si no para proteger el data center. Además, descartar paquetes por los carriers es relativamente sencillo ya que ellos solo soportan una fracción de lo que va a tener que soportar el atacado.
#16:
¿Esta en hosting compartido la web de la SGAE? Que miserias.
#8:
#6 Penoso? fue todo un exito. Y de niños de diez años olvidate, que ya tenemos pelos en los huev** y algunos hasta hipoteca!
#38:
Desenrutar un servidor como medida preventiva consigue un par de cosas importantes:
1- que el tráfico no llegue desde los carriers, evitando carga de trabajo de los routers de ACENS
2- que el servidor (o servidores) no se llene de logs de conexiones fallidas, con lo que luego no hay que remontarlo
3- que sean los routers de los carriers los que descarten los paquetes por no tener forma de enrutar, con lo que se reparte ese trabajo de descarte entre muchas máquinas y no afecta a un solo proveedor.
A veces una retirada a tiempo es una victoria. Sobre todo porque ahora se harán las víctimas y alegarán pérdidas por no haber podido dar servicio.
#12, sí, un artículo de Enrique Dans ganándose a los cuatro tontos exaltados de siempre de la forma más fácil posible. ¿Y? ¿Qué me quieres decir con ese enlace?
#11 Me parece muy bien que vayas insultando sin venir a cuento y sin justificar nada, porque eso me demuestra la clase de persona que eres y que no merece la pena seguir hablando contigo.
A mamarla!
#73, así que soy un "hipócrota", ¿eh? Oye, pues la palabra no está mal, acabo de enviarla a los de la RAE, que me comunican que en un plazo de diez días la añadirán a la vigésimo tercera edición.
Incluso me mandan una previsualización, mira, mira:
hipócrota.
1. adj. Que actúa troleando bajo el anonimato. U. t. c. s.
#6 y de algunos parados con algo más de 10 añitos que no encuentran curro "decente" y que les toca sobremanera los cojones que nos corten las alas y la privacidad en Internet.
Como dirían los protas de they live de carpenter....
#6 Increíble que la descripción de un hecho tenga -600 de karma. Como les duele Pues a las personas maduras una crítica no les duele. La aceptan y piensan en ella. Pero claro, se ha visto bien visto que no es el caso.
En fin, en este tema está todo muy claro, y el karma no lo va a ocultar.
El objetivo de un ataque DDOS es que tu web no sea accesible, ACENS desenruto a www.SGAE.es para evitar problemas a otras webs que comparten Hosting, cosa que hizo que la página de la SGAE no fuera accesible.
#20 Desconozco como de complicado puede ser cancelar un ataque de botnet una vez lo has programado para ello... piensa que no son 2 crios dandole al recargar página
Quiza el ataque enviado solo sea una pequeña advertencia...
Pero te aseguro que saberlo lo sabian. Como ves en el articulo de securitybydefault no era muy dificil comprobarlo.
Soy un advenedizo de la informática pero eso ¿no es lo mismo que matar al perro para acabar con las pulgas?. La han desconectado de antemano, ¿inteligente?; mas bien obvio.
En este pais somos unos genios.
¿Defensa? ¿A eso se le llama defensa hoy en día? Eso no es una defensa, es una RENDICIÓN.
No la voto como tal pero la considero posiblemente irrelevante, por tanto no meneo. La estrategia de la empresa de hosting no consigue impedir en absoluto el objetivo de Anonymous: La web de la SGAE, down.
#16 Supongo que lo de compartido irá más en el sentido de la conexión, que evidentemente es compartida por todo el centro de datos de ACENS, que en el sentido de que usen una máquina compartida entre diferentes webs.
#34 Llamar neófito a Yago deja bastante claro tus conocimientos del mundillo.
De ataque nada eh!...simplemente estábamos ansiosos por ver si actualizaban la portada de la web de la $GAE con el nuevo guión de la Sinde y por eso estábamos haciendo tantas visitas seguidas a la web, por el ansia!
Desenrutar un servidor como medida preventiva consigue un par de cosas importantes:
1- que el tráfico no llegue desde los carriers, evitando carga de trabajo de los routers de ACENS
2- que el servidor (o servidores) no se llene de logs de conexiones fallidas, con lo que luego no hay que remontarlo
3- que sean los routers de los carriers los que descarten los paquetes por no tener forma de enrutar, con lo que se reparte ese trabajo de descarte entre muchas máquinas y no afecta a un solo proveedor.
A veces una retirada a tiempo es una victoria. Sobre todo porque ahora se harán las víctimas y alegarán pérdidas por no haber podido dar servicio.
para empezar la SGAE no comparte servidor. así que primer error o directamente mentira.
Un ataque DDOS deja inopertivo el servidor o eso intenta, es igual de exitoso a base de paquetes hasta inundar el servidor de peticiones que si apagas el servidor por temor, pongo un ejemplo para los que no tienen conocimiento de esto. Si un virus tiene como misión que no uses el ordenador, y para evitar el virus lo apagas, ha cumplido su misión.
El resto de la noticia es de un neófito en la materia, así que ni la comento. Pero como consejo que mire las ip's de uno y otro día.
me parece a mí que están buscando chivos espiatorios a quien cargarle el muerto para ponerlo en portada.
#34 Gracias por tus puntualizaciones, no obstante ¿Donde he dicho yo que comparta maquina con alguien? Lo que digo es que, si ACENS tuviera que procesar el volumen de datos del ataque hacia ESA IP, es mas que probable que, colateralmente, OTRAS IPs (probablemente del mismo rango y también de ACENS) se vieran afectadas ya que CON TOTAL SEGURIDAD, comparten router de entrada / salida. Por lo demás, todo bien
#49 Igual lo que cayó fue el router y se llevó todos los dominios por delante. Un simple tracerouter no te da la información de lo que realmente está pasando.
#49, si no lo dices lo das a entender lo del servidor.
No es cuestión de mal rollo, es que desconectar es pasar el problema a otro lado, y oh wait, acens enruta desde sus routers de espanix, y si corta en el centro de datos la carga se queda en el carrier y si cortas en espanix entonces se enfadan los otros carriers por que los logs que se cargan son los otros, y posiblemente ahora no se pueda entrar por un ban control como una casa por haber desenchufado. Si cada DDOS la empresa de turno desenchufara, esto seria un caos total.
Solución es facil, enruta por akamai veras como te aguanta el DDOS, y si estaban avisados con mas razón. De todas formas acens deberia tener capacidad para solucionar un ataque de la magnitud que ha sido, por que nadie se crea que esto ha sido una coordinación interplatenaria, ha sido un DDOS de lo mas normalito.
#53 Correcto, es una solución algo bizarra, aun así no emitiendo ruta para esa IP, al final el problema 'se lo comen' los ISPs de la gente que se apunta al ataque, dentro de lo que cabe (mas / menos) es lo menos problemático. Me alegro de haber aclarado lo anterior
Después de leer todos los comentarios, me he dado cuenta que Menéame está lleno de no se cómo llamaros, valientes, hackers, expertos mundiales, etc.
Partamos del primer concepto básico, la idea del DDoS. El éxito del DDoS depende no de saturar equipos si no de saturar conexiones. La fibra es muy hija de puta, tiene un caudal, X bytes por segundo. Si tu mandas X + 1, ese último byte no va a poder enviarse. Y esto es en lo que se fundamenta el DDoS, por mucha inversión que hagas en equipos, al final todos los equipos (y con fibra anteriormente me refiería a toda la infraestructura de conexión: fibras, routers, switchs, etc.) tienen un límite de paquetes que pueden procesar, sean descartados o no.
Respecto al uso de firewalls y demás, bien. O bloqueas todo, que viene a ser lo mismo que desenrutar la IP, o tienes un problema, que es caracterizar el tráfico. Y precisamente el DDoS es muy jodido de combatir porque si está bien hecho es muy dificil diferenciar el tráfico legítimo del que no lo es. Y más con ACLs, que normalmente las expresiones de definición de reglas están muy muy limitadas. El trabajo sería de un IPS y no de las ACLs del router.
Y volvemos al punto de partida, ¿Qué diferencia tráfico ilegítimo del legítimo?
* Si detectamos tráfico UDP, lo podemos filtrar.
* Si detectamos demasiadas ACKs sin respuesta SYN/ACK de TCP podemos filtrar esas IPs.
* Si detectamos conexiones TCP inactivas durante un periodo razonable de tiempo las podemos cerrar y filtrar esas IPs.
* Si detectamos peticiones HTTP que accedan repetidamente a la misma URL nuevamente las podemos filtrar.
* Podemos filtrar asimismo aquellas IP que hagan peticiones HTTP de documentos HTML sin pedir CSS, imágenes, Javascript y demás basuras que suele haber en las webs.
Prácticamente con estas 5 reglas detectaríamos la mayoría del tráfico proveniente de un DDoS. Pero ¿Qué pasa si simultánemanete 1.000.000 de internatuas (por decir cifras gordas, una paja mental, no se si esa cifra se aproximará a la del ataque de Anonymous o no) acuerdan acceder con Firefox a la web de Pepito a las 17:00 UTC? Pues que a pesar de ser un DDoS, el tráfico es IMPOSIBLE de diferenciar de un tráfico legítimo y van a saturar tus sistemas. De hecho, es IMPOSIBLE de diferenciar porque es tráfico legítimo usado con un propósito ilegítimo.
#56 Caudal de un CISCO ASA5520 según su web: por encima de los 150 Mbps y 25000 sesiones concurrentes. Ataca con 200 Mbps y 30000 sesiones concurrentes y el IPS queda saturado.
Ante ataques muy masivos que saturen las capacidades físicas de tus equipos lo mejor es claudicar no para proteger la web atacada, si no para proteger el data center. Además, descartar paquetes por los carriers es relativamente sencillo ya que ellos solo soportan una fracción de lo que va a tener que soportar el atacado.
#80 Al fin alguien que sabe de que se habla aquí! Bravo!
De uno si, pero para eso, existe como siempre se montan, en serie, y he puesto ese como un ejemplo ... Existen autenticos monstruos especializados en ese tipo de cosas.
El problema de Acens ( y te lo dice uno que conoce su centro de datos, desde la cabeza, donde está la cafetería, hasta los sotanos, donde estaban montando una subplanta para más máquinas), es la excesiva publicidad, en contra a los servicios. Muy bonito todo, pero salas VACIAS, como su nombre indica. En el centro de datos, existe una batería de firewalls de 11 para todo el data, en la primera planta ... así que si hablo, es con conocimiento total y absoluto de causa ...
Y te repito, conociendo como les conozco, actuaron por pura defensa ... y eso es de acojonarse, en vez de amedrantarse ... que tipo de servicio prestaría a mi web, si la tengo en el aire, y en el momento que la ataquen, la desconectan?
#0 Pues en mi opinión tampoco es tan ingenioso, está claro que pudieron aplicar medidas preventivas porque sabían cuando iba a ser el ataque, ¿pero y si se hubiera hecho por sorpresa? ¿habrían sido tan ingeniosos?, creo que se lo habrían comido con patatas. Además, la cuestión es que la web estuvo caída todo el tiempo.
Y todo por culpa de los newfags: la idea NO debía salir de 4chan. Pero claro, la alardean por medio intenet y todo mundo se entera y se preparan de antemano. Rules 1 & 2.
Se nota la " buena " gestión de los sysadmin, que en vez de defenderse de un ataque, desenrutan una web, para que las demás no se caigan ...
Señores de Acens, a ver si nos ponemos un poco las pilas, que parece que desde que Nazca ha decidido poneros en venta, estais empezando a acusar la falta de pasta! Dejad de contratar NIÑOS DE 10 AÑOS como sysamdin, y meted a currar gente que sepa el concepto de filtrado de Ips ...
#47 Si te gastas una pasta en infrastructura, un DDOS es un juego de niñatos. Díselo a un CISCO ASA5520 ... Ya seá por culpa de lo que $GAE tenga contratado, o por lo que Acens tenga en su data, es una puta chapuza, llanamente.
#47 Y en tiempo real, eh. Como los verdaderos campeones sysadmin. Ya me lo imagino ahí con el Wireshark: esta ip la filtro, esta no, esta ip la filtro, esta no
En mi humilde opinión, yo hubiese filtrado todas las peticiones de rangos de ips no pertenecientes a proveedores españoles. Probablemente el ataque no haya sido tan masivo desde aquí. Caso contrario, pues a joderse y aguantarse.
#58 . Cierto, no olvidemos que un router de los gordacos, de los que si se te cae en el pié tienes para dos meses , ejerce también de cortafuegos . Las ACL están para algo . No creo que los conocimientos de IOS sean nulos en un empresa de hosting .
access-list , si es que hay que decirlo todo . #61 Prueba mtr en vez de tracert.
#58 Con un par de firewalls talla media, un DDOS, talla media / alta, SE LO CEPILLAN.
Me denotas de que en tu vida has visto uno, ni sabes como trabaja ...así y todo, te indico que busques algo de info sobre alguna de las maravillas que propone CISCO, y al menos, te ilumines y veas lo exageradamente seguro que es contar con unos cuantos cacharritos de esos en un data ...
#47 No soy un experto pero digo yo que habrá algún firewall capaz de filtar automáticamente IP's que rebasen un determinado número de peticiones por segundo, si no lo inventamos y nos forramos
Por lo demás, no sé hasta que punto el artículo es correcto. Hace tracert a www.sgae.es, y se ve claramente como va a dos direcciones distintas, "ayer por la noche" 217.116.5.84 y "hoy" 217.116.5.89. Mas que desenrutar parece que cambiaron el DNS, ya que el ataque se hizo directamente a la IP, no a la dirección sgae.es: http://muycomputer.com/files/264-28445-FOTO/m9TI8.jpg, pero está visto que no sirvió de mucho, supongo que el nuevo DNS no se propagó a tiempo de parar el ataque.
Pues la SGAE tiene que estar encantada con Acens, que en vez de defenderles les desconectan y punto... supongo que ya estarán buscando otro hosting más fiable.
De todas formas, ¿por qué hablan en pasado? ¿Es que ya ha acabado el ataque? Yo sigo viendo la página caída... igual es de tanta gente que está entrando para lo mismo que yo, para ver si se han recuperado ya.
Esto me recuerda al chiste de el explorador y las piraguas:
Un grupo de 3 exploradores que son apresados por una tribu muy agresiva de las Amazonas profundas.
Cogen a uno y le dicen "Con tu piel haremos una piragua!!" Y le cortan la cabeza.
Cogen a otro y le dicen "Con tu piel tambien haremos otra piragua!!!" Y le cortan la cabeza
Entonces va el tercero, le quita el machete a uno de los indigenas y mientras se dedica a apuñalarse todo el cuerpo a sí mismo grita "Jodeos, que conmigo no hareis ninguna piragua!!!"
No soy experto en seguridad, pero he asistido a varias charlas sobre estos temas y leyendo los posts de Yago de seguritybydefault y sus respuestas a comentarios, me da la sensación que sus explicaciones no están a la altura de un crack en seguridad informática.
No se si lo desenchufaron o no, que como apuntan por ahí arriba es la tipica solución "muerto el perro se acabo la rabia" ... PERO el autor, muy geek porque sabe hacer un traceroute no tiene NI PUTA IDEA.
Si el serviedor de ACENS está CAIDO, por un ATAQUE DE DENEGACION DE SERVICIO, lo más normal es que este servidor NO RESPONDA.
Por lo tanto, lo que aquí nos explica realmente es el EXITO del ataque.
PD Y aunque fuera como lo cuenta el, si la página web de la SGAE no se puede ver ES UN EXITO.
Pues muy bien por ACENS, por que comprometer a todos sus clientes si pueden desconectar a uno. No se por que criticáis a esta empresa tan solo por hacer lo más lógico. Pelear contra todo el mundo? Deja que el mundo se canse y luego ya vuelves a ponerte online.
Sabían que el ataque iba a durar tan solo horas, a lo sumo un día. Tener que estar pasando pena un día por una sola web? No gracias...
El ataque ha sido en sí un éxito porque la página weg de la SGAE no está disponible, de una manera o de otra. El tema es: ¿y a quién le importa? En algún momento tendrán que parar, y la página volverá a estar disponible. Este tipo de ataques hacen daño a páginas que venden productos, en las que una desconexión equivale a perder dinero(o a no ganarlo). La página web de la SGAE es internet 1.0, es decir, informativa. Así que por que no esté accesible un par de días no pasa nada. Así que cuando se habla de ataque, habrá que explicar qué significa exactamente, aparte de salir en los periódicos.
Pues como yo lo veo el objetivo era sacar de linea a SGAE, y si ellos solos se sacaron de linea pues.. bien.. el objetivo también vale.. que los partidos también se pueden ganar si el rival se mete un autogol.. y no es que se trate de solo el boicot, es una protesta como pararse frente a la entrada de una empresa y bloquear el paso de la gente en señal de disconformidad, entonces al fin de cuentas... se gano por que la pelea no era con Acens.. era y es con SGAE.
pdta: ahora SGAE demandara a Acens por desconectarles la pagina web
¿Porque quieren tomar medidas contra los ciberataques? si ACENS desenruto la web de la SGAE quizas no se produjo ningun ataque, quizas si ACENS no hubiese desenrutado la web de la SGAE no hubiese caido.
Pues puede ser util, pero contando que probablemente el único daño que habría causado sería dejar el servidor offline un tiempo, han salvado otros sitios, lo que está bien, pero el sitio web que querían que se bajara, pues se bajó voluntariamente.
Quizás es peor bajarte los pantalones tu mismo, a que te los bajen, eso es defender otros sitios webs, no el tuyo.
Desde ahora para mi ACENS será un ISP segundón, cobijar a esa panda de ladrones... no sé como los miraré cada vez que pase por delante de ellos, ya que están al lado de mi casa... pffff.
#67 para mi ACENS siempre ha sido segundón, pero por los precios exorbitados y mala calidad del soporte. Encaja que alquien que le sobre la pasta como la SGAE tenga contradados servers ahí.
#81 Acens no es malo para tener los servidores en España, los hay mejores y más caros y peores y más baratos... Acens es normalillo, con una calidad y precio medios.
Lo mejor es coger algo con servidores en USA, con el precio de Acens allí tienes una calidad muy buena, o con la calidad de Acens un precio mucho más barato.
Comentarios
El titular sería más bien "Cómo se defendió ACENS de la SGAE", no?
#4, no. El penoso ataque no lo llevó a cabo la SGAE, sino miles de niños de diez años internautas cobardes y descerebrados.
Pensaba que eso ya estaba claro.
#6 Penoso? fue todo un exito. Y de niños de diez años olvidate, que ya tenemos pelos en los huev** y algunos hasta hipoteca!
Lo siento, #8, los que participaron en el ataque solo pueden englobarse dentro de dos categorías:
1. Niños de diez años.
2. Internautas cobardes y descerebrados.
Y como nos dices que niño no eres...
#11 Goto Ciberprotestas legitimas e imparables
Ciberprotestas legitimas e imparables
enriquedans.com#12, sí, un artículo de Enrique Dans ganándose a los cuatro tontos exaltados de siempre de la forma más fácil posible. ¿Y? ¿Qué me quieres decir con ese enlace?
Joder.. que pena #11 te vote positivo por error
#11 Me parece muy bien que vayas insultando sin venir a cuento y sin justificar nada, porque eso me demuestra la clase de persona que eres y que no merece la pena seguir hablando contigo.
A mamarla!
#11 dijo un troll escundándose en su anonimato. A esto se le llamaba... como era... ah, sí: hipócrota.
#73, así que soy un "hipócrota", ¿eh? Oye, pues la palabra no está mal, acabo de enviarla a los de la RAE, que me comunican que en un plazo de diez días la añadirán a la vigésimo tercera edición.
Incluso me mandan una previsualización, mira, mira:
hipócrota.
1. adj. Que actúa troleando bajo el anonimato. U. t. c. s.
Encantado con el neologismo, chico.
#75
mira ahí te suelto otro neologismo que te define a la perfección: tontolaba
#11 Te falta una tercera categoría:
3. Gilipollas que insultan desde el anonimato del sofá de su casa.
Por cierto, yo me incluyo en las tres categorias, aunque la de niños de diez años me va mejor. ¿Tienes hermanas para jugar a los médicos?
#8 Creo que confundes edad mental con edad física.
#6 miles de niños enfadados con la dictadura comercial de la SGAE. (Me incluyo, aunque no participé en el ataque)
#6 y de algunos parados con algo más de 10 añitos que no encuentran curro "decente" y que les toca sobremanera los cojones que nos corten las alas y la privacidad en Internet.
Como dirían los protas de they live de carpenter....
#6 Pero si tienes ese sitio abierto en la otra pestaña, trollcete
#6 Increíble que la descripción de un hecho tenga -600 de karma. Como les duele Pues a las personas maduras una crítica no les duele. La aceptan y piensan en ella. Pero claro, se ha visto bien visto que no es el caso.
En fin, en este tema está todo muy claro, y el karma no lo va a ocultar.
#6 Hola soy el representante de los niños y como los niños nunca mienten te diré:
- A que jode cuando los niños inutilizan los juguetes de los mayores y estos no les pueden dar en culo culo mahahahaahahaha.
Chincha rabincha!!!!!!!
El objetivo de un ataque DDOS es que tu web no sea accesible, ACENS desenruto a www.SGAE.es para evitar problemas a otras webs que comparten Hosting, cosa que hizo que la página de la SGAE no fuera accesible.
Así que
Anonymous 1 SGAE 0
#19 De haberlo sabido podían haber atacado a otra web, para no desaprovechar todos esos paquetes...de haberlo sabido...
#20 Desconozco como de complicado puede ser cancelar un ataque de botnet una vez lo has programado para ello... piensa que no son 2 crios dandole al recargar página
Quiza el ataque enviado solo sea una pequeña advertencia...
Pero te aseguro que saberlo lo sabian. Como ves en el articulo de securitybydefault no era muy dificil comprobarlo.
#21 No era ninguna botnet...era mucha gente a la vez ejecutando una herramienta para hacer pruebas de stress.
#22 pues así ya no se que decirte... bueno es un "si digo que voy, es que voy" puntualidad, palabra y esas cosas
#23
Soy un advenedizo de la informática pero eso ¿no es lo mismo que matar al perro para acabar con las pulgas?. La han desconectado de antemano, ¿inteligente?; mas bien obvio.
En este pais somos unos genios.
#2 En este caso mas que matar al perro lo separaron de la manada y lo enviaron al monte a pastar
¿Defensa? ¿A eso se le llama defensa hoy en día? Eso no es una defensa, es una RENDICIÓN.
No la voto como tal pero la considero posiblemente irrelevante, por tanto no meneo. La estrategia de la empresa de hosting no consigue impedir en absoluto el objetivo de Anonymous: La web de la SGAE, down.
Para Anonymous: ¡Felicidades!¡Buen trabajo!
Para Teddy & company: Jodeos.
Si llamamos ingenioso a hacer lo obvio...en fin...
#1 es obvio que habla irónicamente...
¿Esta en hosting compartido la web de la SGAE? Que miserias.
#16 Supongo que lo de compartido irá más en el sentido de la conexión, que evidentemente es compartida por todo el centro de datos de ACENS, que en el sentido de que usen una máquina compartida entre diferentes webs.
#34 Llamar neófito a Yago deja bastante claro tus conocimientos del mundillo.
De ataque nada eh!...simplemente estábamos ansiosos por ver si actualizaban la portada de la web de la $GAE con el nuevo guión de la Sinde y por eso estábamos haciendo tantas visitas seguidas a la web, por el ansia!
Que tíos mas ocurrentes, yo hubiera apagado el monitor y ya.
Entonces se sobreentiende que si la ha desconectado ACENS todo el mundo es inocente de cualquier cargo que se le pretenda imputar por el ataque.
Entonces solo hace falta que anuncien un ataque indefinido
Desenrutar un servidor como medida preventiva consigue un par de cosas importantes:
1- que el tráfico no llegue desde los carriers, evitando carga de trabajo de los routers de ACENS
2- que el servidor (o servidores) no se llene de logs de conexiones fallidas, con lo que luego no hay que remontarlo
3- que sean los routers de los carriers los que descarten los paquetes por no tener forma de enrutar, con lo que se reparte ese trabajo de descarte entre muchas máquinas y no afecta a un solo proveedor.
A veces una retirada a tiempo es una victoria. Sobre todo porque ahora se harán las víctimas y alegarán pérdidas por no haber podido dar servicio.
para empezar la SGAE no comparte servidor. así que primer error o directamente mentira.
Un ataque DDOS deja inopertivo el servidor o eso intenta, es igual de exitoso a base de paquetes hasta inundar el servidor de peticiones que si apagas el servidor por temor, pongo un ejemplo para los que no tienen conocimiento de esto. Si un virus tiene como misión que no uses el ordenador, y para evitar el virus lo apagas, ha cumplido su misión.
El resto de la noticia es de un neófito en la materia, así que ni la comento. Pero como consejo que mire las ip's de uno y otro día.
me parece a mí que están buscando chivos espiatorios a quien cargarle el muerto para ponerlo en portada.
#34 Llamas neófito a Yago Jesus?
Ok.
#34 Gracias por tus puntualizaciones, no obstante ¿Donde he dicho yo que comparta maquina con alguien? Lo que digo es que, si ACENS tuviera que procesar el volumen de datos del ataque hacia ESA IP, es mas que probable que, colateralmente, OTRAS IPs (probablemente del mismo rango y también de ACENS) se vieran afectadas ya que CON TOTAL SEGURIDAD, comparten router de entrada / salida. Por lo demás, todo bien
#49 Igual lo que cayó fue el router y se llevó todos los dominios por delante. Un simple tracerouter no te da la información de lo que realmente está pasando.
#50 www.acens.com nunca estuvo caída (según comprobé) de ahí que tenga mas bien pinta a un desenrutado
#49, si no lo dices lo das a entender lo del servidor.
No es cuestión de mal rollo, es que desconectar es pasar el problema a otro lado, y oh wait, acens enruta desde sus routers de espanix, y si corta en el centro de datos la carga se queda en el carrier y si cortas en espanix entonces se enfadan los otros carriers por que los logs que se cargan son los otros, y posiblemente ahora no se pueda entrar por un ban control como una casa por haber desenchufado. Si cada DDOS la empresa de turno desenchufara, esto seria un caos total.
Solución es facil, enruta por akamai veras como te aguanta el DDOS, y si estaban avisados con mas razón. De todas formas acens deberia tener capacidad para solucionar un ataque de la magnitud que ha sido, por que nadie se crea que esto ha sido una coordinación interplatenaria, ha sido un DDOS de lo mas normalito.
#53 Correcto, es una solución algo bizarra, aun así no emitiendo ruta para esa IP, al final el problema 'se lo comen' los ISPs de la gente que se apunta al ataque, dentro de lo que cabe (mas / menos) es lo menos problemático. Me alegro de haber aclarado lo anterior
#34 la última línea de tu comentario no tiene precio. Pareces Iker Jiménez colega. Y de lo de "neófito", para que opinar...
Después de leer todos los comentarios, me he dado cuenta que Menéame está lleno de no se cómo llamaros, valientes, hackers, expertos mundiales, etc.
Partamos del primer concepto básico, la idea del DDoS. El éxito del DDoS depende no de saturar equipos si no de saturar conexiones. La fibra es muy hija de puta, tiene un caudal, X bytes por segundo. Si tu mandas X + 1, ese último byte no va a poder enviarse. Y esto es en lo que se fundamenta el DDoS, por mucha inversión que hagas en equipos, al final todos los equipos (y con fibra anteriormente me refiería a toda la infraestructura de conexión: fibras, routers, switchs, etc.) tienen un límite de paquetes que pueden procesar, sean descartados o no.
Respecto al uso de firewalls y demás, bien. O bloqueas todo, que viene a ser lo mismo que desenrutar la IP, o tienes un problema, que es caracterizar el tráfico. Y precisamente el DDoS es muy jodido de combatir porque si está bien hecho es muy dificil diferenciar el tráfico legítimo del que no lo es. Y más con ACLs, que normalmente las expresiones de definición de reglas están muy muy limitadas. El trabajo sería de un IPS y no de las ACLs del router.
Y volvemos al punto de partida, ¿Qué diferencia tráfico ilegítimo del legítimo?
* Si detectamos tráfico UDP, lo podemos filtrar.
* Si detectamos demasiadas ACKs sin respuesta SYN/ACK de TCP podemos filtrar esas IPs.
* Si detectamos conexiones TCP inactivas durante un periodo razonable de tiempo las podemos cerrar y filtrar esas IPs.
* Si detectamos peticiones HTTP que accedan repetidamente a la misma URL nuevamente las podemos filtrar.
* Podemos filtrar asimismo aquellas IP que hagan peticiones HTTP de documentos HTML sin pedir CSS, imágenes, Javascript y demás basuras que suele haber en las webs.
Prácticamente con estas 5 reglas detectaríamos la mayoría del tráfico proveniente de un DDoS. Pero ¿Qué pasa si simultánemanete 1.000.000 de internatuas (por decir cifras gordas, una paja mental, no se si esa cifra se aproximará a la del ataque de Anonymous o no) acuerdan acceder con Firefox a la web de Pepito a las 17:00 UTC? Pues que a pesar de ser un DDoS, el tráfico es IMPOSIBLE de diferenciar de un tráfico legítimo y van a saturar tus sistemas. De hecho, es IMPOSIBLE de diferenciar porque es tráfico legítimo usado con un propósito ilegítimo.
#56 Caudal de un CISCO ASA5520 según su web: por encima de los 150 Mbps y 25000 sesiones concurrentes. Ataca con 200 Mbps y 30000 sesiones concurrentes y el IPS queda saturado.
Ante ataques muy masivos que saturen las capacidades físicas de tus equipos lo mejor es claudicar no para proteger la web atacada, si no para proteger el data center. Además, descartar paquetes por los carriers es relativamente sencillo ya que ellos solo soportan una fracción de lo que va a tener que soportar el atacado.
#80 Al fin alguien que sabe de que se habla aquí! Bravo!
De uno si, pero para eso, existe como siempre se montan, en serie, y he puesto ese como un ejemplo ... Existen autenticos monstruos especializados en ese tipo de cosas.
El problema de Acens ( y te lo dice uno que conoce su centro de datos, desde la cabeza, donde está la cafetería, hasta los sotanos, donde estaban montando una subplanta para más máquinas), es la excesiva publicidad, en contra a los servicios. Muy bonito todo, pero salas VACIAS, como su nombre indica. En el centro de datos, existe una batería de firewalls de 11 para todo el data, en la primera planta ... así que si hablo, es con conocimiento total y absoluto de causa ...
Y te repito, conociendo como les conozco, actuaron por pura defensa ... y eso es de acojonarse, en vez de amedrantarse ... que tipo de servicio prestaría a mi web, si la tengo en el aire, y en el momento que la ataquen, la desconectan?
La SGAE está enrrutada. ¿Quién la desenrrutará? El buen desenrrutador que la desenrrute, buen desenrrutador será.
#0 Pues en mi opinión tampoco es tan ingenioso, está claro que pudieron aplicar medidas preventivas porque sabían cuando iba a ser el ataque, ¿pero y si se hubiera hecho por sorpresa? ¿habrían sido tan ingeniosos?, creo que se lo habrían comido con patatas. Además, la cuestión es que la web estuvo caída todo el tiempo.
y por ultimo, a ver si el del eschufe se entera y lo conecta ya, que lleva 2 dias desconectao. .
por que imagino que esta no es la web de la sgae:
La conexión ha caducado
El servidor sgae.es está tardando demasiado en responder.
no conozco la anterior, pero esta me resulta muy familiar. jajajaja
Y todo por culpa de los newfags: la idea NO debía salir de 4chan. Pero claro, la alardean por medio intenet y todo mundo se entera y se preparan de antemano. Rules 1 & 2.
#32 He estado a punto de decir "rules 1 and 2 only apply to raids"... pero es que esto era una raid
Jodidamente penoso ...
Se nota la " buena " gestión de los sysadmin, que en vez de defenderse de un ataque, desenrutan una web, para que las demás no se caigan ...
Señores de Acens, a ver si nos ponemos un poco las pilas, que parece que desde que Nazca ha decidido poneros en venta, estais empezando a acusar la falta de pasta! Dejad de contratar NIÑOS DE 10 AÑOS como sysamdin, y meted a currar gente que sepa el concepto de filtrado de Ips ...
Verguenza ajena ...
#41 sí, en un ataque DDoS ponte a filtrar IPs...lo que hay que leer.
#47 Si te gastas una pasta en infrastructura, un DDOS es un juego de niñatos. Díselo a un CISCO ASA5520 ... Ya seá por culpa de lo que $GAE tenga contratado, o por lo que Acens tenga en su data, es una puta chapuza, llanamente.
#47 Y en tiempo real, eh. Como los verdaderos campeones sysadmin. Ya me lo imagino ahí con el Wireshark: esta ip la filtro, esta no, esta ip la filtro, esta no
En mi humilde opinión, yo hubiese filtrado todas las peticiones de rangos de ips no pertenecientes a proveedores españoles. Probablemente el ataque no haya sido tan masivo desde aquí. Caso contrario, pues a joderse y aguantarse.
#58 . Cierto, no olvidemos que un router de los gordacos, de los que si se te cae en el pié tienes para dos meses , ejerce también de cortafuegos . Las ACL están para algo . No creo que los conocimientos de IOS sean nulos en un empresa de hosting .
access-list , si es que hay que decirlo todo .
#61 Prueba mtr en vez de tracert.
#58 Con un par de firewalls talla media, un DDOS, talla media / alta, SE LO CEPILLAN.
Me denotas de que en tu vida has visto uno, ni sabes como trabaja ...así y todo, te indico que busques algo de info sobre alguna de las maravillas que propone CISCO, y al menos, te ilumines y veas lo exageradamente seguro que es contar con unos cuantos cacharritos de esos en un data ...
#47 No soy un experto pero digo yo que habrá algún firewall capaz de filtar automáticamente IP's que rebasen un determinado número de peticiones por segundo, si no lo inventamos y nos forramos
Por lo demás, no sé hasta que punto el artículo es correcto. Hace tracert a www.sgae.es, y se ve claramente como va a dos direcciones distintas, "ayer por la noche" 217.116.5.84 y "hoy" 217.116.5.89. Mas que desenrutar parece que cambiaron el DNS, ya que el ataque se hizo directamente a la IP, no a la dirección sgae.es: http://muycomputer.com/files/264-28445-FOTO/m9TI8.jpg, pero está visto que no sirvió de mucho, supongo que el nuevo DNS no se propagó a tiempo de parar el ataque.
Oh! la web de la SGAE ha caído! Maldita sea! Cuanta gente no habrá podido entrar a hacer sus quehaceres!
Por favor... tienen web porque han de tenerla, no hay nada importante en ella.
Pues sigue siendo "success!"
De todos modos el titular es erroneo, la SGAE no se defendió, se defendió el hosting que le da servicio.
¿Se defendió? Pero si la web de $GA€ sigue caída... y son las 22:17 del 7 de octubre.
#60 Sigue caída? Yo la he mirado hace unas horas y estaba funcionando...anda! La han vuelto a tumbar!
Y los de la SGAE tambien pueden englobarse en dos categorías
- Vagos
- Mafiosos
#37 Y rara vez se catalogan de forma exclusiva en una de esas categorias.
Cambiando de tema: propongo meter en la carcel a todos los vascos para terminar con el terrorismo de ETA.
Pues la SGAE tiene que estar encantada con Acens, que en vez de defenderles les desconectan y punto... supongo que ya estarán buscando otro hosting más fiable.
De todas formas, ¿por qué hablan en pasado? ¿Es que ya ha acabado el ataque? Yo sigo viendo la página caída... igual es de tanta gente que está entrando para lo mismo que yo, para ver si se han recuperado ya.
Por lo visto todavia se estan "defendiendo", no?
Jajajajaja.
Esto me recuerda al chiste de el explorador y las piraguas:
Un grupo de 3 exploradores que son apresados por una tribu muy agresiva de las Amazonas profundas.
Cogen a uno y le dicen "Con tu piel haremos una piragua!!" Y le cortan la cabeza.
Cogen a otro y le dicen "Con tu piel tambien haremos otra piragua!!!" Y le cortan la cabeza
Entonces va el tercero, le quita el machete a uno de los indigenas y mientras se dedica a apuñalarse todo el cuerpo a sí mismo grita "Jodeos, que conmigo no hareis ninguna piragua!!!"
Una defensa genial: ME RINDOOOOOO!!!
O sea que el único ataque que llegó a SAGE fue por parte de ACENS, qué curioso. Lo mismo ni hubo ataque
Sigue caída, estos de ACENS merecen un aplauso.
No se retiraron, estaban avanzando hacia atras
No me equivoque mucho ayer cuando dije que lo más fácil era apagar el servidor...casi acierto.
El equivalente a tirar del enchufe
No soy experto en seguridad, pero he asistido a varias charlas sobre estos temas y leyendo los posts de Yago de seguritybydefault y sus respuestas a comentarios, me da la sensación que sus explicaciones no están a la altura de un crack en seguridad informática.
En fin ... HAY QUE SER GARRULO.
No se si lo desenchufaron o no, que como apuntan por ahí arriba es la tipica solución "muerto el perro se acabo la rabia" ... PERO el autor, muy geek porque sabe hacer un traceroute no tiene NI PUTA IDEA.
Si el serviedor de ACENS está CAIDO, por un ATAQUE DE DENEGACION DE SERVICIO, lo más normal es que este servidor NO RESPONDA.
Por lo tanto, lo que aquí nos explica realmente es el EXITO del ataque.
PD Y aunque fuera como lo cuenta el, si la página web de la SGAE no se puede ver ES UN EXITO.
22:45 horas del día 7 de octubre del año 2010:
Pasados unos minutos y por razones de mantenimiento la página Web SGAE estará de nuevo operativa. Disculpen las molestias.
Mola.
Pues muy bien por ACENS, por que comprometer a todos sus clientes si pueden desconectar a uno. No se por que criticáis a esta empresa tan solo por hacer lo más lógico. Pelear contra todo el mundo? Deja que el mundo se canse y luego ya vuelves a ponerte online.
Sabían que el ataque iba a durar tan solo horas, a lo sumo un día. Tener que estar pasando pena un día por una sola web? No gracias...
Traducido en cuatro palabras: Tiraron de la cadena
Y saca la conclusión sólo con un traceroute?
También puede sacar la conclusión que el router del medio estaba caído o lo habían tirado o etc.
Lo de que compartan el mismo router, no tiene porqué hacer caer a los demás puertos.
¿ defensa o huída ?
El ataque ha sido en sí un éxito porque la página weg de la SGAE no está disponible, de una manera o de otra. El tema es: ¿y a quién le importa? En algún momento tendrán que parar, y la página volverá a estar disponible. Este tipo de ataques hacen daño a páginas que venden productos, en las que una desconexión equivale a perder dinero(o a no ganarlo). La página web de la SGAE es internet 1.0, es decir, informativa. Así que por que no esté accesible un par de días no pasa nada. Así que cuando se habla de ataque, habrá que explicar qué significa exactamente, aparte de salir en los periódicos.
Pues como yo lo veo el objetivo era sacar de linea a SGAE, y si ellos solos se sacaron de linea pues.. bien.. el objetivo también vale.. que los partidos también se pueden ganar si el rival se mete un autogol.. y no es que se trate de solo el boicot, es una protesta como pararse frente a la entrada de una empresa y bloquear el paso de la gente en señal de disconformidad, entonces al fin de cuentas... se gano por que la pelea no era con Acens.. era y es con SGAE.
pdta: ahora SGAE demandara a Acens por desconectarles la pagina web
Menuda tontería de noticia. Acaban de descubrir el planeta BGP.
¿Porque quieren tomar medidas contra los ciberataques? si ACENS desenruto la web de la SGAE quizas no se produjo ningun ataque, quizas si ACENS no hubiese desenrutado la web de la SGAE no hubiese caido.
Si todo lo que se puede hacer contra la $gae es hacerles caer la página web .... mal vamos
A todo lo llama defensa últimamente...
Pues puede ser util, pero contando que probablemente el único daño que habría causado sería dejar el servidor offline un tiempo, han salvado otros sitios, lo que está bien, pero el sitio web que querían que se bajara, pues se bajó voluntariamente.
Quizás es peor bajarte los pantalones tu mismo, a que te los bajen, eso es defender otros sitios webs, no el tuyo.
HA HA!
oooooooooooooooooooooooooooooh
Desde ahora para mi ACENS será un ISP segundón, cobijar a esa panda de ladrones... no sé como los miraré cada vez que pase por delante de ellos, ya que están al lado de mi casa... pffff.
#67 para mi ACENS siempre ha sido segundón, pero por los precios exorbitados y mala calidad del soporte. Encaja que alquien que le sobre la pasta como la SGAE tenga contradados servers ahí.
#81 Acens no es malo para tener los servidores en España, los hay mejores y más caros y peores y más baratos... Acens es normalillo, con una calidad y precio medios.
Lo mejor es coger algo con servidores en USA, con el precio de Acens allí tienes una calidad muy buena, o con la calidad de Acens un precio mucho más barato.
#91 Si a 250€ 300 GB de tráfico y un server con 1 GB de ram le llamas buen precio ...
Hola soy Juan, feliz navidad.