Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

-90

Los servidores raíz de DNS sufren un repentino aumento de tráfico. ¿Han atacado uno de los corazones de Internet?

dsc_global.png

Preocupación en el núcleo de Intenet por el gran aumento de tráfico en varios servidores raíz del servicio DNS, básicos para que la resolución de nombres en Internet funcione sin problemas. Por el momento no se han dado situaciones dramáticas de denegación de servicio, aunque están investigando el origen de este fenómeno, que recuerda a anteriores ataques.

DNS (Domain Name System) es uno de los protocolos fundamentales para que Internet funcione tal y como la conocemos hoy en día, ya que permite traducir un nombre (por ejemplo, bandaancha.eu) en la IP del servidor, que es donde finalmente el navegador hace la petición web.

El servicio se basa, en su nivel más alto, en trece servidores raíz (llamados root-servers, con letras de la A a la M), administrados por diferentes entidades: universidades, organismos públicos de Estados Unidos, empresas, o autoridades de asignación de direcciones IP como ICANN o RIPE. A ellos son a los que recurren los servidores DNS intermedios cuando no tienen en su caché la IP del nombre.

Varios de estos servidores han visto desde las 18 horas del día 28 (horario español) un aumento significativo y repentino del tráfico que soportan, provocando que en algún caso no puedan contestar a todas las peticiones realizadas. Ahora mismo, el fenómeno continúa dándose, especialmente en cuatro de los trece servidores, aunque en las últimas mediciones parece que vuelve la normalidad.

AVERAGE_50_1_800_50-1.png

El caso más destacable es el del servidor B-Root (el segundo por abajo en la gráfica), donde se están dando momentos en los que entre el 66% y el 90% de las solicitudes no se han podido atender.

El resto de servidores con gráficas pintadas considerablemente de color amarillo son el C, E y G, que indica que menos de un 66% de las solicitudes no tuvieron respuesta. Queda fuera del funcionamiento ideal, pero es la situación menos grave.

RIPE ha anunciado que también su K-Root ha visto multiplicado por cuatro su tráfico habitual, aunque en este caso no se ha visto alterado su funcionamiento de forma significativa. Como vemos en la primera gráfica, el aumento significó pasar de aproximadamente 15.000 peticiones por segundo a más de 65.000 a las 3.30 de la madrugada del día 29.

En este caso, el K-Root es un servidor distribuido en varias localizaciones. La subida de peticiones se hizo al centro de Amsterdam, aunque posteriormente los administradores han redirigido este volumen de tráfico al de Londres para analizar su origen. Desde ayer a las 21 horas aproximadamente, parece que en el K-Root los valores han vuelto a la normalidad.

nodes.png

Aunque no se puede hablar todavía de un ataque coordinado contra uno de los corazones de Internet, la forma tan puntual y aparentemente coordinada con la que el tráfico hacia estos servidores ha aumentado hace recordar casos anteriores.

Ya hubo dos ataques importantes a estos servidores en la anterior década

Hace ya unos años, en 2002, hubo un ataque DDoS que consiguió hacer que nueve de estos servidores no pudieran responder a un gran portentaje de las peticiones, causando bastantes problemas. En total, se usó una fuerza bruta de peticiones que sumaban en total 900 Mbps.

En 2007 ocurrió un evento similar, aunque con efectos bastante más débiles, ya que sólo pudieron hacer sufrir a dos de los servidores (G-Root y L-Root), mientras que los F y M sólo reportaron un tráfico mayor del habitual. En esta ocasión, se utilizó una red de ordenadores infectados zombie, también conocida como botnet.

En cualquier caso, habrá que esperar a que los expertos que están trabajando analizando esta situación den una opinión al respecto a lo que ha pasado en varios servidores .

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
    • BocaDePez BocaDePez
      0

      youtu.be/tC8s44MRGVA En este vídeo vemos la ejecución del…

      youtu.be/tC8s44MRGVA

      En este vídeo vemos la ejecución del ataque, la transcripción sería más o menos así:

      - Buenas tardes Su Santidad le presento al Sr. Daniel de LulzSec y al señor coordinador del ataque, al Sr. Gustavo de Anonymous Madrid creador de la interface y a quien se le ocurrió la idea de meterlo en un Ipad.

      - Esta foto es de mi familia la puse de fondo de escritorio que original soy.

      - Papa: Aaaah si que buen gusto tiene.

      - Este es el botón del fin del mundo empezaremos por internet, si pulsa el botón Publish daremos aviso mediante un Tweet a la "VatNet" mundial para que inicien el ataque contra los servidores diabólicos.

      - Aqui tenemos una banda que realizara un impedimento particular a los root DNS.

      (El Papa piensa: que me estará contando, a este le hago un cardenal si no se explica bien)

      - No no me toque le botones su santidad, cuidado ay ay que hace dejeme, dejeme.

      - Aquí mandaremos las noticias falsas para que se crean que son los chinos los que provocaron la caída de Internet. Lo publicaran en el Osservatore Romano y por Radio Vaticana.

      - Este es el Tweet que ya le hemos escrito para que se inicio el ataque Su Santidad, Padre Santo solo pulse Send, ahí en la esquina apriete así.

      - Papa: esto son letras extranjeras.

      - Echo ya lo ha enviado, ahora nos tomamos un capuccino delicioso.

      - Papa: no no se agache la leche no sale de ahi.

      - Gustavo el de Anonymous: Muchas felicidades...

      - Papa: ¿Quien era este?

        • Me da la sensación de que estás insinuando que las…

          Me da la sensación de que estás insinuando que las frecuencias grabadas en el holograma con forma de "B" de la pulsera Power Balance la cual nos produce numerosos beneficios por tan solo 35 euros realmente no hacen nada? Aquí hay mucho listillo me parece a mí, en Gran Hermano han afirmado que si produce beneficios, y si los de Gran Hermano lo dicen no sé quien eres tú para decir lo contrario.

          Y yo que pensaba pegar uno de esos hologramas a mi cablerouter de Ono a ver si pillaba los 50 Megas de gratis :D .

          • BocaDePez BocaDePez
            6
            si funciona, pero no lo cuentes tio! el ataque viene de ahi!…

            si funciona, pero no lo cuentes tio! el ataque viene de ahi! pillaron modems de 9800, usaron las pegatinas de los cojones y los roots mordiendo el polvo...

  • BocaDePez BocaDePez
    18

    Hace mas de 5 años que tenian que haber investigado esto, que…

    Hace mas de 5 años que tenian que haber investigado esto, que hace años no hubiese tanto trafico DNS era porque no habia tanto telefono movil, pero ahora con tanto movil y tanto modem 3G con la dificultad, y en gran medida, la imposibilidad de analizar el trafico de estos por el usuario junto a la facilidad de hackeo de Android y otros ha hecho que el unico puerto abierto de manera habitual sea utilizado por troyanos, gusanos y demas fauna....el puerto 53 del servicio DNS.

    En los PCs.....la gente es que no recuerda como hace poco tiempo se encontraron fallos de seguridad en TODOS los servidores DNS? fallos que podian haber sido explotados durante decenios....el puerto 53 es el mas accesible en los ordenadores precisamante porque en toda comunicacion ip basada en web se realiza una peticion dns en la matoria de los casos y que casualmente los firewalls ni siquiera inspeccionan, estos ven que se utiliza el puerto 53 y dejan pasar de todo.

          • La respuesta era mía... Acaso no dejo claro que me refiero a…

            La respuesta era mía...

            Acaso no dejo claro que me refiero a TU servidor dns??? Por eso digo... en TU servidor dns no tienes que revisar nada. No me refería al servidor dns de tu ISP, yo al igual que tu reviso mi propio servidor DNS pero se que no me tengo que preocupar ya que esos ataques no van dirigidos a mi.

            • Pero vamos a ver, no pensaba yo que quedaba taaaaaaaaaaan…

              Pero vamos a ver, no pensaba yo que quedaba taaaaaaaaaaan abierto mi mensaje.

              ¡Que yo no estoy buscando el ataque en mi servidor! Busco síntomas de problemas a la hora de contactar con los sevidores raiz mencionados.

              Aún salta el otro bocadepez hablando de ilusos. No pensaba yo que me explicara tan mal o que me entendieran tan mal :-?

              Bueno, dejémoslo, que esto se está volviendo una conversación altamente sin sentido.

            • BocaDePez BocaDePez
              0
              Si, hay que ser iluso para creer que puede ver algo en su…

              Si, hay que ser iluso para creer que puede ver algo en su servidor casero

          • ¿Abierto? Pues ya me dirá él cómo queda abierto cuando digo…

            ¿Abierto?

            Pues ya me dirá él cómo queda abierto cuando digo "Tendré que revisar los logs" :-P

            Es de cajón que no puedo revisar los logs de mi ISP...

            P.D.: no veo nada raro (saltos entre roots tratando de resolver) en los logs, a primera vista...

  • Asunto aclarado

    No hace falta buscar más, ya está solucionado. Son los usuarios de Ono que, debido a la mierda de sus servidores, han puesto directamente los ROOT para poder tener algo fiable. Ya se puede cerrar la incidencia.

    • BocaDePez BocaDePez
      6

      Jajajaja... yo soy uno de ellos.., para que me funcione el…

      Jajajaja... yo soy uno de ellos.., para que me funcione el fileserve con jdownloader lo único que tengo que hacer es poner los DNSs diferentes a los que me da ono....

      • BocaDePez BocaDePez
        6

        Creo que ese es en sí el objetivo. O, al menos, hacer ruido.…

        Creo que ese es en sí el objetivo. O, al menos, hacer ruido.

        Personalmente, este año he estado viviendo en un piso en el que había ONO contratado, y sí, efectivamente sus DNS son una mierda. Rápidamente me pasé a los de Google, que por lo visto también dependen de los ROOT. O eso asumo, ya que desde ayer estoy teniendo problemas al cargar páginas, sobretodo cuando hay varios objetos linkeados directamente desde otras páginas.

  • DNS descentralizado

    El futuro pasa por un DNS descentralizado y autogestionado. En este sentido un proyecto que ha aparecido recientemente es el NameCoin. Es un sistema DNS distribuido basado en los conceptos de Bitcoin, una moneda digital P2P.

    Así pues aún siendo un proyecto de nueva creación (poco más de 2 meses) está basado en una tecnología p2p cuya seguridad ha sido ampliamente probada. Más información sobre el proyecto: http://forum.bitcoin.org/?topic=6017.0

    Al usar tecnología P2P es resistente a los ataques DDOS y además no permite que organismos gubernamentales puedan censurar dominios específicos a placer como pasa actualmente.

  • BocaDePez BocaDePez
    6

    Empiezan a despertar en EEUU...

    Empiezan a despertar en EEUU, Brasil, etc ...veremos si a medida que se incorpora más gente el fenómeno se incrementa o no :-/ ...

1