Ataque DoS a una Red

Imagen de damage

Tema: 

Hola amigasos, le cuento algo que me paso el día de ayer por la tarde, resulta que yo le doy servicio de administración remota a un pequeño WISP que se encuentra en otra provincia, bueno el asunto que paso es que ayer, el propietario de dichi ISP me llama y me comentaba que la red se habia puesto extremadamente lenta y que ninguno de sus clientes podia navegar en internet, cosa que me llamo la atención, al principio pense que era cuetion de ancho de banda, que quizas ejecutaron una regla que le hizo un flush al mangle y se paro la segmentación, etc, bueno, entre al server via SSH, y revice lo mencionado y todo normal, en realidad no le tome importancia al asunto por que los tecnicos de alla ya habian hecho algunas cagadas y me tenian las que sabemos cuadradas y queria que pasen apuros, despues de unos minutos me vuelven a llamar y me cuenta de que en casi todos los clientes conectados les salia en la pantalla de los Window$ que tenian IP duplicada, le conteste que eso era problema de que no estaba llavando el control IP-MAC con el ip neigh, pero me contesto que si lo estaba haciendo, lo cual ya me comenso a preocupar, entre de nuevo al server y el me envia a mi mail una impresion de la pantalla de una PC cliente y lo que me sorprendio, es que el mensaje que salia no era el tipico cuadrito amarillo en el lado inferior derecho del windows, si no un pantalla completa de color blanco que decia que la IP estaba duplicada, ahi me preocupe en realidad y me propuse a hacer un scaneo de la red a ver que pasaba.

Primero hice fue ver con iptraf el consumo de la red interna, y para mi sorpresa, veia que la mac FFFFFFFFFF tenia un consumo de 500k como minimo, mire a la eth0 conectada hacia el Internet y no presentaba esa anomalia, lo cual me preocupo y a la ves en algo me tranquiliso porque sabia que no era un ataque externo, pero no habia casi ninguna conexion hacia Internet, procedi luego a revisar con tcpdump y para mi sorpresa el 90% de los paquetes eran generados por una IP que no correspondia a las subredes de la LAN por ejemplo la una subred es 172.100.1.1/24 uso siempre en esta red la clase 172.100.1.x/xx y la ip era 192.168.0.2, lo cual me resulto rarisimo, segui viendo lo que tcpdump me mostraba y todos los paquetes eran dirijidos al los puertos 135:139 y al broadcast de la red y de las subredes, luego de el horror que vei procedi a ver que MAC tenia esa ip, lo hice con arping hacia la ip mencionada y me arrojo una MAC "X", la cual pertenecia al equipo wireless de un cliente de este ISP, procedieron a desconectar el equipo y todo se calmo, esa fue la solución más radical y la menos técnica en ese momento, pero mi duda es...

Que paso, eso definitivamente es un ataque DoS o es un Troyano en la red?, como evitar que pase otra vez?. en mi firewall tengo habilitado algunos modulos para evitar esto como:

/sbin/depmod -a
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ipt_REJECT
modprobe ipt_TOS
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc

echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/conf/default/log_martians

Además de denegar conexiones de INPUT y FORWARD a y desde los puertos 137:139. Aunque al ser un WISP y como un radio en el cual el ataque tenia conexión no tiene firewall, no me servia de nada denegar en el linux los puertos. De ley se va a poner un radio con Linux como firmware y denegar conexiones de ese tipo a nivel de AP.

Pero que más úedo hacer?, como saber en realidad qeu paso y como lo hicieron si fue un ataque real?.

Saludos y gracias por apoyar.

Comentarios

Si asi es lo que mencionas

Imagen de damage

Si asi es lo que mencionas es lo correcto y es lo que pongo en practica(no todas), el problema como contaba es que yo no estoy en el sitio de la instalación, ya que vivo muy pero muy lejos, a ellos yo les doy soperte remoto, y por lo tanto no puedo estar pendiente de las cagadas que hagan el rato de instalar :(, lo que puedo hacer es llamar la atención en este caso al dueño hacerle ver los problemas que tiene y pueden llegar a tener, etc. Por lo de hackeo es posible, pero más bien me encamino a que es falla de fabricación de los equipos ya que algunos presentan problemas similares, por ejemplo conectas uno en el lado del cliente y los ping de computador al router via wireless son elevadisimos ni a 5 metros genera pines de 30ms, o por ejemplo la ultima milla de cliente se cae el rato de poner el router, etc.

Por estas razones no creo que se problema de hackeo mas bien es algun "bug" del firmware.

Saludos.
P.D La marca es qpcom, el modelo no lo recuerdo.

Keep The Fire Burning.....
Stryper 1988

problema serio de seguridad

tengo un problema de seguridad despidieron a un compañero y este era el administrador de sistemas y ahora tenemos la sospecha de que intentará ingresar por algun agujero, la pregunta es que debemos asegurar, tenemos instalado squid,samba,debian... gracias de antemano!

Sería mejor que crees un

Imagen de deathUser

Sería mejor que crees un nuevo hilo para tu pregunta, ya que no tiene nada que ver con el tema original, además si te fijas es un tema que tiene como 2 años de antigüedad, pero con todo, creo que deberías analizar principalmente el firewall en busca de todos los puertos y servicios abiertos al público, bloquear cualquier acceso externo a ssh por ejemplo o cualquier otro servicio similar.

Obviamente que te sugeriría analizar los servicios expuestos al público, podrías usar nessus por ejemplo, para buscar posibles agujeros de seguridad.

Suerte ...

bye
:)

Páginas