El día en que Internet fue atacada

Marzo 19th, 2009

Quizás nunca os lo hayáis planteado, quizás nunca creistéis que fuera posible, quizás ni sentistéis los ecos de tamaña batalla… pero lo cierto es que hubo un día en el que toda Internet casi deja de funcionar, fue uno de los ataques más increíbles que jamás se han realizado.

A lo largo de los años de vida de la red de redes no han sido pocos los que han señalado la debilidad de nuestra arquitectura actual de resolución de nombres. Ya sabéis que cuando escribimos en el navegador “www.google.com”, esto debe traducirse a una dirección IP que luego es usada para establecer la conexión. Para realizar este proceso es necesario que nuestro equipo contacte con algún servidor en donde se mapee el nombre “www.google.com” con su IP correspondiente. Obviamente, no existe ningún servidor central en donde todos los nombres estén mapeados con todas las IP, dado el tamaño de Internet y su naturaleza cambiante, eso es simplemente imposible.

Para visualizar la arquitectura de resolución de nombres debemos imaginar una pirámide, en la cima están los servidores raíz, los directores de la orquesta. A ellos siempre podremos preguntarles por el nombre que queramos resolver, pero en vez de darnos la respuesta, nos contestará con la dirección de un servidor de nivel inferior que puede que si la conozca. Ese servidor, si no la sabe, nos contestará a su vez con una dirección de nivel inferior al suyo, y así vamos bajando hasta dar con el servidor de nombres que tiene la información que buscamos. No quiero entretenerme mucho en el protocolo de resolución de nombres (DNS), pero la idea básica es que la información está repartida entre muchos servidores y existen caminos para llegar a ella a partir de los servidores raíz. Como toda arquitectura jerárquica cuenta con el problema clásico de la decapitación, ¿Qué pasa si por alguna razón caen los servidores raíz?  Existen un total de 13 servidores de raíz y muchos expertos coinciden en que las posibilidades de realizar un ataque éxitoso sobre los 13 de manera simultánea y con la duración suficiente para que sea notable son rídiculas. Por otro lado, estos servidores cuentan con medidas extraordinarias de seguridad, además atacarlos no produce ningún beneficio a nadie.

A pesar de todo, a las 20.45 UTC del  21 de Octubre del 2002 comenzó un ataque de denegación de servicio distribuido sobre los 13 servidores de nombres raíz. Cientos de miles de equipos comenzaron a establecer conexiones con estos servidores, cargándolos de trabajo adicional con la intención de impedirles realizar la tarea para la que fueron diseñados. El grueso del ataque se prolongó hasta  las 22.00 UTC, aunque aún siguieron llegando rafagas de paquetes maliciosos hasta la mañana del 22 de Octubre.

Se estima que cada servidor recibió una carga adicional de entre 50 y 100 Mbits/seg. El tráfico involucrado en el ataque iba desde paquetes ICMP hasta paquetes TCP mal fragmentados, pasando por los clásicos TCP SYN o intentos de conexiones UDP. Todas las direcciones de origen eran falsas, por lo que nunca se pudo ubicar a los bots que lanzaron el ataque.

Lo más singular es que fue la primera vez en que se ponía en marcha un ataque simultáneo de tal magnitud, el simple hecho de llevarlo a cabo ya era un reto importante. Otro de los detalles más desconcertantes fueron las motivaciones del atacante… la gloria en los sitios más oscuros del underground es lo único que parece aceptable.

El objetivo del ataque era evitar que los servidores de nombres raíz pudieran responder a las peticiones de resolución de nombres, lo que impediría la comunicación con cualquier máquina de la que no supieramos la IP. Por buscar un símil, si Internet es un gran continente, el ataque lo hubiera fragmentado en pequeñas islas incomunicadas entre sí… o con una comunicación muy limitada. Un desastre… sin negocios globales, sin e-mail… SIN GOOGLE!!! :P (bueno, posiblemente sí que seguiríamos teniendo acceso a Google, al menos durante varias horas después del comienzo del ataque, pero eso es otra historia). El caso es que de haber funcionado, hubiera sido un cataclismo sin precedentes… pero a que no os habéis enterado de que algo parecido haya sucedido, ¿verdad?

A pesar de que el ataque llegó a afectar a 9 de los 13 servidores, sólo fue perceptible por el usuario final como pequeños retrasos al intentar usar ciertos servicios. Esto se debió principalmente a las buenas medidas con las que contaban los servidores raíz para hacer frente a eventualidades como éstas y al buen hacer de los técnicos que intervinieron en esta incidencia: se amplió el caudal de datos, se activaron balanceadores de carga, se pusieron en marcha redes espejos para evitar congestiones en puntos concretos y muchas más medidas adicionales.

Todo quedó en un susto, horas de sueño perdidas y bastante dinero gastado (las contramedidas que se tomaron para mantener el servicio no fueron precisamente baratas). Además sirvió para reforzar aún más la seguridad de estos servidores.

Pero ésta no fue la última vez que se intetó decapitar Internet, el 6 de Febrero del 2007 un nuevo ataque masivo intentaba dejar fuera de servicio a los servidores raíz. A pesar de que este ataque fue mucho más agresivo y gracias a las mejoras introducidas en la arquitectura DNS tras el ataque del 2002, el impacto fue muy limitado, aunque se informó que dos de los servidores raíz habían sido gravemente afectados. Sin embargo, una vez más, el usuario final apenas notó retrasos en las comunicaciones.

Creedme si os digo que todos los días se libran batallas escalofriantes en ésta, nuestra red, sin embargo los hombres de negro velan por nosotros… o eso dicen ellos.

Fuentes principales:

http://d.root-servers.org/october21.txt

http://www.icann.org/announcements/factsheet-dns-attack-08mar07.pdf

Categorías: Cibercriminales, curiosidades |

17 comentarios

  1. Bitacoras.com

  2. Adri

    [...]Skynet empezó a aprender a un ritmo geométrico. Tomó conciencia de sí misma a las 2:14AM, hora de la costa este el 29 de agosto de 1997[...]

    Económicamente hablando, lanzar aviones a esos 13 servidores sería más nefasto que el 11-S. Las guerras y los ataques terroristas (que ya han empezado a tirar por esos derroteros) se centrarán mucho más en la red.

    ¡Benditas cachés!

  3. fanta

    Increible.

  4. SynWenn

    El ciberterrorismo ya es una forma reconocida de terrorismo, tanto es así que a raíz de los ataques del 2007, el Departamento de Defensa (DoD) anunció que, basándose en la autoridad del presidente, estaban preparados para realizar un cibercontraataque en caso que de que EEUU sufriera un ciberataque masivo que comprometiera las estructuras críticas de la información (http://www.networkworld.com/news/2007/020807-rsa-cyber-attacks.html)

  5. shanakadu

    Joe macho, esta claro que deberiamos tener otra forma de navegar, u sea, una red alternativa, por que es cierto, caen los servidores raiz DNS y se lia parda.
    Salu2

  6. El día en que Internet fue atacada

    [...] El día en que Internet fue atacadawww.sendaoscura.com/curiosidades/el-dia-en-que-internet-fue-… por sgaista hace pocos segundos [...]

  7. Crow123

    En 1997, comenzó el uso a gran escala de IRC y gracias a ello, el uso de los famosos “scripts”, programas como el MIRC, PIRCH, etc hicieron que la programacion en scripts sea sencilla. En 1998 fueron estos scripts los primeros en dar a luz el primer “ataque de denegación de servicio distribuido ” causando una caida casi invisible (por la cantidad de usuarios existentes de internet) de la red, que fue rapidamente gestionada a poco de detectar la inestabilidad de los servidores.(esta noticia no fue nunca publicada, solo muy pocos usuarios lo sabemos)

  8. Ataques a Internet « FRGdesing Blog

    [...] a Internet 19 04 2009 Del blog Senda Oscura: Leo este interesante post, que nos puede hacer ver los peligros que supondría si Internet tal y [...]

  9. yerro

    Muy buen artículo, enhorabuena.

  10. vaya

    justo en 2002 sé que en venezuela se intentó dar un golpe de estado, por los USA, atacando precisamente a sus ordenadores.

  11. Escaramuzas cibernéticas a nuestras espaldas | Bleend's Blog

    [...] tema es que muchas veces ocurren cosas como ataques DDoS a estos servidores raíz, que, en mi opinión, merecen aparecer en primeras portadas de todo periódico que se [...]

  12. jali

    Hay unas incorrecciones en el artículo, pero en general da una idea bastante aproximada de lo que pasó. Aunque se habla de 13 servidores raiz, en realidad hay bastantes más, actualmente 171 (fuente: http://www.root-servers.org) . Desde el punto de vista del usuario hay sólo trece pues el resto son réplicas exactas de esos 13, con la misma dirección IP y por tanto no distinguibles del original.

    Además, para que el efecto se hubiera tenido mayor impacto, se tendría que haber prolongado en el tiempo, porque los servidores dns de las operadoras hacen cache de los servidores raiz y cuando un usuario consulta un dns, muy pocas veces ataca contra los dns raiz.

    Un saludo y enhorabuena por el blog

  13. SynWenn

    Hola Jali, gracias por el comentario.

    Desconozco el número de réplicas que existían en el 2002, pero sí sé que muchas de las actuales fueron introducidas a raíz de ese ataque.

    Cierto es que hice una simplificación del proceso por no añadir demasiada complejidad técnica al artículo. Pero también mencioné que el ataque sobre los DNS raíz no tendría un efecto inmediato. Pero explicar que afectaría a más sistemas cuantas más caches fueran expirando a lo largo del tiempo, suponía profundizar más en la arquitectura DNS… y la verdad es que quería que el artículo fuera lo menos técnico posible.

  14. Xagu

    Muy guapo!

  15. Administración e Instalación de Redes de Computadores » DNS

    [...] que hubo sobre los servidores raíz que apunto estuvo de “dejarnos sin Internet” En Senda Oscura podéis encontrar un cronología de los [...]

  16. eli carlos

    jajaja pucha la que nos libramos esta interesante

  17. El día que internet fue atacada « Todo y mas

    [...] Fuente de extracción del texto: http://www.sendaoscura.com/curiosidades/el-dia-en-que-internet-fue-atacada/ [...]

Deja un comentario