¿Puede un atacante ralentizar mi servidor sin comprometerlo?

4

Tenemos un servidor Linux con WHM / cPanel que ha estado funcionando sin problemas durante casi 3 años. Ayer, el servidor dejó de responder (aunque definitivamente estaba allí) durante aproximadamente una hora. Poco después recibimos un correo electrónico que dice que nuestro servidor está involucrado en un netscan:

Mon Oct 8 03:30:24 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP 80

Mon Oct 8 02:57:16 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_2 80

Mon Oct 8 03:26:43 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80

Mon Oct 8 03:26:52 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80

Mon Oct 8 03:13:13 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80

Mon Oct 8 03:13:15 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_4 80

Mon Oct 8 03:21:23 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_4 80

...
...
MANY LINES LATER
... 
...

Mon Oct 8 02:45:11 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_1 1234

Mon Oct 8 03:19:43 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_2 1234

Mon Oct 8 03:24:00 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_3 1234

Mi primer pensamiento fue que nos comprometimos, sin embargo, después de revisar registros, historiales, bases de datos, etc., no veo ninguna indicación de eso. Obviamente, el atacante puede haber cubierto bien sus huellas, pero no veo ninguna razón en este punto para creer lo contrario.

Mi pregunta es, ¿existen ataques en los que un ataque pueda rebotar en nuestro servidor para golpear a otro servidor, ralentizando así nuestro servidor pero sin comprometerlo realmente? Si es así, ¿cómo se llaman para que yo pueda investigarlas? Así se vería algo así como:

  • El atacante envía una multitud de paquetes a mi servidor.
  • Mi servidor recibe paquetes en los puertos especificados (que parecen ser 22 y 80). Mi servidor analiza los paquetes y dice "Este paquete está destinado a SOME_IP en el puerto 80. Será mejor que lo reenvíe a ellos"
  • Mi servidor reenvía los paquetes.

Cualquier ayuda sería muy apreciada.

    
pregunta Chris 08.10.2012 - 23:54
fuente

2 respuestas

7

Lea el artículo de Wikipedia sobre ataques de reflexión: enlace

Al utilizar la suplantación de direcciones de Protocolo de Internet, la dirección de origen se establece en la de la víctima objetivo, lo que significa que todas las respuestas irán (e inundarán) al objetivo.

Es un modo relativamente fácil para que un atacante lance un ataque a gran escala desde muchas direcciones IP contra un objetivo.

    
respondido por el Rory Alsop 09.10.2012 - 00:27
fuente
2

Definitivamente, suena como un ataque DoS de una dirección IP falsificada, no un servidor comprometido (¡no puedes asumirlo!), ya que tienes tráfico externo que llega a tu sistema y no se origina en tu sistema. La mejor manera de manejar esto depende de su hardware disponible, y se realiza mejor en el perímetro de su red, ya que mantendrá la carga de procesamiento fuera de su servidor por completo.

Este tipo de ataque DoS se caracteriza por una gran cantidad de paquetes sincronizados desde una única dirección de origen, por lo que durante un ataque, la mejor manera de anularlo es simplemente eliminar cualquier paquete de esa dirección de origen. En un router cisco estaría aplicando una lista de acceso como esta:

ip access-list extendido perimeter_block 10 deny ip any

ip access-list extendido perimeter_block 100 permite ip ip any any

luego aplícalo a la interfaz externa:

ip access-group perimeter_block in

luego guarda la configuración. Esto bloqueará cualquier tráfico destinado a su servidor desde esa dirección IP falsificada. Si tiene un firewall en lugar de un enrutador, desearía tener las mismas 2 líneas que las reglas del firewall para bloquear el tráfico de esa IP.

Eso cuidará el tráfico durante un ataque y hará que su servidor vuelva a funcionar, pero necesita una solución que proteja a su servidor de los ataques en primer lugar. Para eso es mejor usar la limitación de la tasa de sincronización TCP. Esto se puede hacer en algunos enrutadores y firewalls, o en el servidor usando IPtables. Nuevamente, sugeriría implementar esto en sus dispositivos de red perimetral si puede, en lugar de dejar que llegue a su servidor. Aquí le mostramos cómo calificar el límite en Cisco usando CAR , y < a href="https://forum.suprbay.org/showthread.php?tid=123549"> IPtables .

    
respondido por el GdD 09.10.2012 - 09:44
fuente

Lea otras preguntas en las etiquetas