| |
VSantivirus No. 932 - Año 7 - Sábado 25 de enero de 2003
1 - ESTADOS UNIDOS BAJO ATAQUE D.D.o.S MASIVO
Estados Unidos Bajo Ataque D.D.O.S Masivo
http://www.vsantivirus.com/ataque-puerto1434.htm
Crónica de un ataque.
Puede decirse con total certeza que la situación que describimos a continuación, ya es parte del pasado, porque todo está volviendo a su normalidad. Pero por su importancia histórica, y como referencia a futuras investigaciones, publicamos a continuación las dos noticias que en su momento redactábamos mientras al mismo tiempo éramos testigos de los acontecimientos.
Primer artículo. Testigos del ataque...
ULTIMO MOMENTO - 06.38 Uruguay (9.38 GMT)
Por Jose Luis Lopez
videosoft@videosoft.net.uy
La falla en nuestro servidor VSAntivirus.com, no se debe a los cambios que se están realizando, como informábamos en un primer momento.
Exactamente a las 2.45 AM de Uruguay (5.45 GMT), nuestro servidor VSAntivirus.com dejó de responder. Cuando en un primer momento pensamos se trataba de alguna de las tareas que se están realizando, tal como hemos venido anunciando a nuestros usuarios, la realidad era muy distinta.
Aclaramos que nuestro sitio Videosoft.net.uy se encuentra físicamente en un lugar diferente de la red, y esa es la razón que aún siga funcionando (hasta el momento).
Según información oficial de foros militares norteamericanos, se están monitoreando en estos momentos ataques masivos del tipo D.D.o.S (Ataques de negación de servicio distribuidos). En este tipo de ataque se utilizan cientos o hasta miles de computadoras, actuando al mismo tiempo contra blancos específicos.
Todos los Estados Unidos están en estos momentos bajo ese tipo de ataque, que se inició alrededor de la medianoche tiempo CST (Central Time Standard).
Al menos 5 de los 13 servidores de nombres raíz (DNS), están fuera de servicio o con perdida masiva de paquetes.
Este es el estado oficial de la red en estos momentos (06.00 hora de Uruguay, 9.00 GMT), cuando nuestro servidor principal, ubicado "en el medio de la tormenta", ya hace más de tres horas que es inaccesible.
Internet Status to Root Name Servers
Date: Fri Jan 24 21:37:00 PST 2003
Función y nombre del servidor -- % Paquetes perdidos - Tiempo M/P/M
Root ........ b.root-servers.net ........ 53% ........ 25/40/48
Root ........ c.root-servers.net ......... 0% ........ 82/82/82
Root ........ e.root-servers.net ........ 20% ........ 16/29/33
Root ........ f.root-servers.net ........ 26% ........ 17/27/32
Root ........ h.root-servers.net ........ 20% ........ 91/101/108
Root ........ i.root-servers.net ........ 26% ........ 190/199/205
Root ........ j.root-servers.net ........ 26% ........ 81/91/96
Root ........ k.root-servers.net ........ 64% ........ 172/188/201
Root ........ l.root-servers.net ......... 0% ........ 5/5/6
Root ........ m.root-servers.net ........ 33% ........ 160/171/205
GTLD ........ b.gtld-servers.net ........ 26% ........ 52/63/67
GTLD ........ c.gtld-servers.net ........ 31% ........ 85/93/95
GTLD ........ d.gtld-servers.net ........ 13% ........ 88/100/103
GTLD ........ f.gtld-servers.net ........ 22% ........ 38/50/57
GTLD ........ i.gtld-servers.net ......... 0% ........ 198/200/203
GTLD ........ k.gtld-servers.net ........ 24% ........ 90/100/105
GTLD ........ l.gtld-servers.net ........ 33% ........ 128/138/171
|
Tiempo M/P/M = Mínimo/Promedio/Máximo (tiempo de respuesta). Cómo comparación, observe que aquellos pocos servidores que no han sufrido ataques y poseen un porcentaje de perdida de paquetes de 0%, tienen un tiempo de respuesta a las solicitudes de 5 a 6 segundos, contra los 200 o más de los que están bajo ataque.
Todos los proveedores principales (backbone) sufren perdidas de paquetes:
Función y nombre del servidor -- % Paquetes perdidos - Tiempo M/P/M
AboveNet ns.above.net ................... 28% ........ 53/64/66
AGIS ns1.agis.net ....................... 26% ........ 62/74/78
AlohaNet nuhou.aloha.net ................ 35% ........ 84/94/98
ANS ns.ans.net .......................... 26% ........ 83/97/100
BBN-NearNet nic.near.net ................ 28% ........ 91/114/572
BBN-BARRnet ns1.barrnet.net ............. 26% ........ 16/26/32
Best ns.best.com ........................ 35% ........ 79/89/95
Concentric nameserver.concentric.net.... 35% ........ 18/31/56
CW ns.cw.net ............................ 28% ........ 88/98/105
DIGEX ns.digex.net ...................... 31% ........ 78/86/91
ENTER.NET dns.enter.net ................. 28% ........ 91/104/108
Epoch Internet ns1.hlc.net .............. 33% ........ 37/48/52
Flash net ns1.flash.net ................. 17% ........ 80/92/94
GetNet ns1.getnet.com ................... 20% ........ 40/52/56
GlobalCrossing name.roc.gblx.net ........ 24% ........ 85/97/104
GoodNet ns1.good.net .................... 31% ........ 83/92/97
GridNet grid.net ........................ 20% ........ 80/92/101
IDT Net ns.idt.net ...................... 20% ........ 91/104/121
Internex nic1.internex.net .............. 26% ........ 18/31/35
MCI ns.mci.net .......................... 22% ........ 91/103/107
MindSpring itchy.mindspring.net ......... 15% ........ 75/88/106
NAP.NET ns2.nap.net ..................... 20% ........ 73/85/94
PacBell ns1.pbi.net ...................... 0% ........ 89/89/90
Primenet dns1.primenet.net .............. 20% ........ 31/41/45
PSI ns.psi.net ........................... 0% ........ 82/84/160
RAINet ns.rain.net ...................... 31% ........ 40/49/53
SAVVIS ns1.savvis.net ................... 31% ........ 88/99/102
SprintLink ns1.sprintlink.net ........... 11% ........ 15/27/35
UUNet,AlterNet auth00.ns.uu.net ......... 26% ........ 89/98/103
Verio-West ns0.verio.net ................ 22% ........ 31/42/47
Verio-East ns1.verio.net ................ 22% ........ 86/96/101
VISInet ceylon.visinet.ca ............... 20% ........ 102/116/188
MoonGlobal-ClubNET ns.clubnet.net ........ 0% ........ 0/1/2
MoonGlobal-Netway dns.nwc.net ............ 4% ........ 6/6/7
MoonGlobal-Netxactics verdi.netxactics.com 4% ........ 6/6/7
InterWorld ns.interworld.net ............. 0% ........ 4/4/5
|
El ataque es masivo, y tal vez el más grande en la historia de Internet, y aún perdura. Informaremos cualquier cambio (que por lo demás será evidente), siempre que la ubicación de nuestro segundo servidor (videosoft.net.uy) se mantenga fuera del área del ataque.
Cómo referencia, vsantivirus.com está en el área de Nueva York, mientras que videosoft.net.uy (y nativo.com), en virtud de los cambios que se están llevando a cabo, están en el área de Houston.
El ataque parece apuntar o provenir (no está claro aún y esto lo estamos redactando con las primeras noticias recibidas) del puerto 1434 y estar relacionados con servidores MsSQL. Incluso podría ser la acción de algún nuevo gusano.
Referencias:
Rolling 24-hour Latency, Packet Loss, and Reachability
http://average.matrix.net/
2 - LAS SECUELAS DEL GRAN ATAQUE
Segundo artículo. Después del ataque...
Estados Unidos Bajo Ataque D.D.O.S Masivo
Casi 6 horas después del ataque tal vez más importante a Internet en los últimos años, todo parece volver a la normalidad.
LAS SECUELAS DEL GRAN ATAQUE - 08.56 Uruguay (11.56 GMT)
A las 7.30 hora de Uruguay, el acceso a los principales servidores de Internet y el tráfico en general, parece volver a la normalidad.
Ya se puede acceder a nuestro servidor VSAntivirus.com.
Los reportes indican una cantidad increíble de peticiones al puerto 1434, que bien podrían estar relacionadas con una vulnerabilidad conocida desde julio de 2002 en los servidores Microsoft SQL Server 2000.
Según el CERT, este servidor posee una vulnerabilidad muy importante que permite a un atacante crear una condición de denegación de servicio entre dos servidores.
El servicio SSRS (SQL Server Resolution Service) que incluye esta versión del referido servidor, está relacionado con la posibilidad de ejecutar múltiples instancias en la misma máquina. Este servicio escucha peticiones al puerto UDP 1434 y devuelve la dirección y el número del puerto del servidor SQL para proporcionar acceso a la base de datos cuando se hace una consulta.
En adición a esta facilidad, el servicio SSRS es capaz de responder con un "ping" mensajes de otros servidores SQL para confirmar su presencia en la red. Cuando el servicio recibe un mensaje, responde al host que lo envía con otro mensaje idéntico.
En una operación normal, este servicio es responsable de replicar con un ping el mensaje recibido de un servidor SQL. Un atacante puede crear un falso Ping que ocasione que dos servidores entren en un bucle sin retorno respondiéndose a cada ping del otro (normalmente es un solo ping por mensaje).
Este ciclo consume recursos de todo el servidor y de la red, y el proceso no se detiene hasta que se apaga el servidor o se cierra la conexión entre servidores de alguna forma drástica.
El ataque masivo de hoy sábado, muestra un excesivo aumento de requerimientos al puerto usado por los servidores SQL, por lo que se supone que es la causa del ataque, y el mayor bloqueo del que se tenga noticia.
En octubre de 2002, un ataque masivo a los servidores raíz (aquellos que tienen las direcciones y los nombres de la computadoras para su interconexión), ocasionó algunos problemas, pero no fueron más que molestias, ya que la propia red se mantuvo activa, a pesar de que algunos pocos sitios fueron inaccesibles.
En este caso, el ataque logró proporciones más graves.
Exactamente a las 2.45 de Uruguay, perdimos el contacto con nuestro servidor VSAntivirus.com, ubicado en la zona de Nueva York. El hecho de que estaban previstas algunas interrupciones en el plan de ampliación que hemos anunciado, hizo que no nos sorprendiéramos, salvo porque el soporte técnico no nos había avisado (pero las fallas ocurren).
A las 3.00 de Uruguay, ante la falta de respuesta, y viendo que nuestro segundo servidor con Videosoft.net.uy, ubicado físicamente en otra parte de Estados Unidos estaba activo, colgamos una página como aviso a quienes intentaran entrar a nuestro sitio principal (ya se había estado avisando que podrían existir interrupciones y por lo tanto se habían anunciado direcciones alternativas como emergencia: http://www.videosoft.net.uy/vsantivirus/)
Sin embargo, a las 4.45, al navegar rutinariamente por la red, descubríamos que más y más sitios eran inaccesibles. Con la ayuda de Visual Route
(http://visualroute.itotal.net/?lang=es) establecimos un mapa, donde la mayoría de los sitios inaccesibles pertenecían a las zonas principales de Internet en los EE.UU (Nueva York por ejemplo), donde parte su principal "backbone", la espina dorsal de la red. Luego de ello, recogimos información en algunos foros que nos llevaron a fuentes militares norteamericanas, obteniendo con todo ello un sorprendente mapa que demostraba lo que finalmente anunciábamos en nuestro sitio de emergencia. Estados Unidos estaba bajo un ataque masivo de negación de servicio.
Actualmente (8.56 de Uruguay, 11.56 GMT), quedan pocos rastros del ataque y casi todos los sitios son accesibles (incluido VSAntivirus.com).
Otros detalles se irán conociendo en las próximas horas. Por el momento, la única referencia concreta es la que acabamos de dar con relación al puerto 1434 y a los servidores SQL.
También es interesante saber que el parche para dicha falla, fue publicado oportunamente por Microsoft en su boletín de seguridad MS02-039 del 24 de julio de 2002.
Actualización: Algunos logs que acabamos de examinar en nuestros propios servidores en el periodo que duró el ataque, indican que muchas de las peticiones al puerto 1434 en ese período, provenían de IPs ubicadas en Asia, más específicamente de Taipei, Taiwan.
Relacionados:
W32/SQLSlammer. El culpable del mayor ataque a Internet
http://www.vsantivirus.com/sqlslammer.htm
Las preguntas que usted se hace sobre el W32/SQLSlammer
http://www.vsantivirus.com/sqlslammer-faq.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
