Renegados bajo ataque de inundación SYN
Durante las últimas semanas, nuestros sistemas han sido objetivo recurrente de ataques de denegación de servicio (DoS) mediante la técnica de inundación SYN (SYN Flood).
¿En qué consiste exactamente este ataque?
Este tipo de ataque explota el funcionamiento básico del protocolo TCP. Un atacante envía una avalancha masiva de peticiones de conexión (paquetes SYN) hacia el servidor. Sin embargo, nunca completa el "three-way handshake" (el apretón de manos en tres pasos) al no enviar el paquete de confirmación (ACK) final.
El servidor, actuando conforme al estándar, reserva recursos para cada una de estas conexiones a medio establecer (dejándolas en el estado SYN_RECV). Al esperar un tiempo determinado (timeout) a que llegue la respuesta que nunca vendrá, estas conexiones fantasma saturan la cola de conexiones pendientes. El resultado es que el servidor agota sus recursos y no puede aceptar conexiones legítimas, provocando una efectiva denegación de servicio para usuarios reales.
Suplantación de IP (Spoofing)
Para aumentar su efectividad y dificultar el rastreo, estos ataques suelen realizarse con direcciones IP de origen falsificadas. Una analogía útil sería recibir cientos de cartas con remitentes falsos. Al intentar contestar (enviando el SYN-ACK), la respuesta se dirige a una dirección inocente o inexistente que no solicitó la comunicación, por lo que el servidor queda esperando una confirmación que nunca llegará.
¿Quién está detrás y cuál es nuestra postura?
Si bien la sofisticación técnica de estos ataques particulares puede ser limitada, su impacto es real y su objetivo es dañino. Es crucial entender que llevar a cabo estos ataques es una actividad delictiva en la mayoría de jurisdicciones, tipificada como daños informáticos o acceso ilícito, y conlleva consecuencias legales graves, incluyendo potenciales penas de prisión.
En nuestro caso, hemos implementado contramedidas técnicas para mitigar el impacto y, como parte de nuestra política de seguridad, estamos recopilando y almacenando de forma segura todos los logs y evidencias (direcciones IP, timestamps, patrones de tráfico) no solo de estos intentos, sino de cualquier actividad maliciosa contra nuestra infraestructura. Esta información es fundamental para el análisis forense y puede ser puesta a disposición de las autoridades competentes si es necesario.
Francisco Bartolo I.
Uneix-te a la comunitat
Registrar-seRegistra't per votar, comentar, desar articles i molt més. Mantén-te al dia amb les últimes publicacions de Renegados. No estàs segur? Descobreix com funciona.
Comentaris (0)