This page has been translated from Italian
Febrero
18

Su red está bajo ataque? Siempre en la mañana del sábado.

| 5 commenti | TrackBack | | | 5 comentarios | TrackBack |
una stelladue stelletre stellequattro stellecinque stelle (6 votos, promedio: 5,00)
Loading ... Cargando ...

un_tranquillo_weekend_di_paura.jpg E mañana, pero muy tarde. Te levantas y sabes que hoy es un día especial. Y 'el sábado y luego tener un buen día de descanso antes y Cazzeggio.

Usted camina a la máquina de café, pero una mirada caerá en tu móvil. Activar o encenderlo. Este es el dilema. Por supuesto que encenderlo, es sábado y todo es perfecto.

Bip, bip. ... Bip, bip .... 7 llamadas sin contestar. Director general de EIM, conecta 1, enlace 2, enlace 3, el cliente 1, el cliente 2, el cliente 3.

Ok, el café está de vuelta el sábado para relajarse y cazzeggiando se retrasa. Voy a tener un deja-vu. Algo malo ha ocurrido en Micso.

Tiempo para conectarse y llamar a su santidad, el CEO de la empresa donde trabajo. De ruido de fondo de inmediato la sensación de que está en la granja de servidores y, a continuación la situación es trágica, es peor!

En esencia, parece que se bloquea el servidor de seguridad que protege y gestiona tienda en la red.

Bueno, que se inicia. Objetivo del juego: entender dónde está el problema y reiniciar la red. Los enemigos son: tiempo, complejidad de la red y el hecho de que actualmente no existe a distancia y por lo tanto no pueden acceder a cualquier máquina, servidor de seguridad completa.

Vamos a ver cómo proceder.

Paso 1 - Apagar y reiniciar

Como cualquier buen ordenador, sé que la regla básica de cualquier juego. Si un equipo no funciona, probablemente se estrelló algún servicio o el núcleo. Se apaga y de nuevo, la esperanza de que el problema se resolverá por arte de magia.

Por lo tanto, dar el reinicio de nuestro CEO en el firewall y mira los dedos cruzados.

La respuesta es que la máquina se descompone, pero llegó a la carga de las reglas del cortafuegos, parece como si se está cargando una regla a la vez con extrema lentitud.

De donde se estrelló el coche para iniciar muy pronto queda claro que el problema no es el software, pero es en la red. Sin duda, en algún lugar, que van a obtener una cantidad anormal de los datos, tan enorme que el cortafuegos no puede hacer más para gestionar y su posterior hundimiento.

El siguiente paso es obvio.

Paso 2 - Desconecte todos los

Como he de desconectar todos los cables de red desde el servidor de seguridad que inmediatamente recuperar el aliento. Vale. Ellos empiezan a colgar los cables de red. Muy lentamente smile.gif

Antes de la potencia de nuestros vehículos personales para el trabajo. ¿Todo bien. El servidor de seguridad todavía funciona. Luego, el cable a Internet. Sin embargo todo ok. Ahora por fin puede caer en el firewall.

Por último, el cable a la granja de servidores. Buummmm, crashhh, whishhhhhh. No es nada rifunziona. Ok, el problema era, según lo previsto en la granja de servidores.

Indudablemente, es una máquina que está haciendo casino adentro hacia afuera. Esto es fácil de adivinar por qué se produjo el ataque desde el exterior si no sería suficiente para saturar el ancho de banda y matar a los cortafuegos, y luego porque el cortafuegos se habría estrellado inmediatamente sólo colgó el cable a Internet. Pero se estrelló hoy.

Dada la imposibilidad de trabajar en el servidor de seguridad con el cable de red conectado a la granja de servidores, para entender quién y qué es frenar todo, hay que ir paso a paso.

Paso 3 - Identificar el servicio bajo ataque

En primer lugar, vamos a ver si hay un uso del servicio particular, en agudo.

Iptraf activa en el cortafuegos, me pongo a escuchar a la granja de servidores durante diez segundos y conecte el cable de red desconectar inmediatamente después de hacer para recuperar el control del firewall.

El resultado es evidente.

attacco_micso_2008_02_16_iptraf.png

Alguien está haciendo el travieso en el puerto 53, que está haciendo una avalancha de peticiones de DNS. Vamos a ver quién.

Paso 4 - Identificar los atacantes

Hacer esto es ahora muy sencillo. Se corre un tcpdump en el servidor de seguridad para escuchar en la interfaz de red del conjunto de servidores que analiza todos los paquetes entrantes desde y hacia el puerto 53 y escribir todo en un archivo.

tcpdump -i eth1 -w tcpdump_attacco.dump port 53

Atacar el cable de red a la granja de servidores durante diez segundos y trasladarlo a recuperar el control del servidor de seguridad. Descarga el archivo a su PC en casa y se analizziamolo con Wireshark.

attacco_micso_2008_02_16_wireshark.png

Ah, por fin tenemos una IP y luego el culpable.

Usted debe haber escuchado, por teléfono, gritando al administrador: "Desconecte el cable de red de esa máquina, apagarlo, quemar !!!!!!".

Ahora que toda la red está de vuelta al 100% activo, a ver si nuestros sábado o empezar a relajarse sólo una décima parte de la labor que ha de entender si el coche es el nuestro o si es una vivienda de un cliente.

Si el coche es el nuestro, son dolorosas, como debemos entender por qué el automóvil está haciendo todo este lío, y dado que la explicación es una sola, alguien que ha logrado hacer algunas incursiones en alguna vulnerabilidad del auto, tomó el control y ahora la ha convertido en un "monstruo", debemos entender cómo se produjo, ¿qué otro daño ya estaba hecho y cómo solucionar el problema. Luego de averiguar quién es el responsable de salir de nuestro coche con una vulnerabilidad abierta. Una pista de fin de semana hueco

Por suerte el coche no es nuestra sino de nuestro cliente. A retirarse y luego permanece apagado. Alguien reciba una llamada telefónica el lunes no tan feliz por mí mismo grin.gif

Dijo lo que parece como si la cosa se ha resuelto en diez minutos. En realidad, desde el primer momento de pánico modo, la segunda vez como "Yo no recuerdo esta interfaz de red donde va" y la tercera vez cuando vaya a "pasar por alto-mode = on" se tardó casi hora de tratar con ellos.

Oh, bueno, lo importante es que ahora lo "real" puede empezar el sábado.

Este artículo ha sido visto 1267 tiempo

5 Respuestas a "La red está bajo ataque? Siempre en la mañana del sábado. "

Deja tu comentario

/ Me corre

Entrenamiento

Racing