Monthly Archives: July 2016

DDoS seguridad

Tipos de ataques DDoS que he recibido – I

Recuerdo aún cuando en el 2012 ví el primer ataque DDoS de amplificación UDP, aquel fue de DNS…

No fuimos objetivo del ataque sinó que se usó un dns nuestro como amplificador.

Aunque en realidad dicho server no era un “open resolver“, simplemente se nos usó como vector para amplificar peticiones mediante queries tipo “ANY”.

El descubrimiento fue por casualidad ya que era de poco volumen, pero afectó a la cpu de un clúster de balanceadores Cisco CSS:

 

El problema de CPU del CSS lo solucionamos con un parche y modificación del tipo de balanceo:

flow-state 53 udp flow-disable nat-enable
  • Ataques de Amplificación UDP. Breve introducción:

Los ataques de amplificación UDP se basan en inundar al host atacado con tanto tráfico que no pueda responder correctamente a su propio tráfico legítimo ( degradación de red ).
Esto es, saturar el ancho de banda que disponga. A veces además, si se consigue traspasar los equipos perimetrales de red, se puede llegar a degradar a otros dispositivos.

La mayoría de ataques de amplificación UDP son reflejados. Los actores de este tipo de ataques son de 3 tipos:
– El verdadero atacante ( que usará spoofing haciéndose pasar por la ip del atacado ) o que usará una botnet que a su vez usará spoofing.
– Los amplificadores del ataque ( hosts vulnerables o mal configurados que amplificarán las peticiones spoofeadas )
– La víctima ( al que han suplantado su IP y recibirá el tráfico )

  • Veamos un ejemplo de ataque de amplificación dns:

read more »

Uncategorized

retomando el blog

Hace dos años que no posteo y tengo bastantes artículos en la recámara que iré subiendo:
SDN, Seguridad de Red, DDoS recibidos y contramedidas, balanceadores de carga …

He cambiado de servidor dedicado en OVH y he decidido activar SSL, http/2 y HSTS ( ya tocaba … ).

Me he encontrado que el Time to First Byte ha aumentado considerablemente con SSL.

Después de ”jugar” con nginx y diferentes cifrados he conseguido bajar ese TTFB un poco y mantener una calificación A+ en www.ssllabs.com.

Por otro lado, he activado Incapsula como WAF en el cloud. Logs de Incapsula:

Probaré NAXSI ( Nginx Anti XSS & SQL Injection ) https://github.com/nbs-system/naxs, a ver que tal …

 

read more »