Tempo di lettura: 4 min
E' mattina, ma molto tardi. Ti alzi e sai che oggi è un giorno speciale. E' sabato e quindi hai davanti una bella giornata di relax e cazzeggiamento.
Ti dirigi verso la macchina del caffè ma uno sguardo ti cade sul cellulare. Accenderlo o non accenderlo. Questo è il dilemma. Ma certo che accenderlo, è sabato e tutto è perfetto.
Bip, Bip....Bip, Bip....7 chiamate non risposte. Amministratore delegato della Micso, collega 1, collega 2, collega 3, cliente 1, cliente 2, cliente 3.
Ok, il caffè è rimandato, il sabato di relax e di cazzeggiamento è rimandato. Sto per avere un deja-vu. Qualcosa di brutto è successo in Micso.
Il tempo di collegarmi e di chiamare sua santità, l'amministratore delegato della ditta per la quale lavoro. Dal rumore di fondo intuisco subito che sta nella server farm e che quindi la situazione non è tragica; è peggio!!!
In sostanza sembra che il firewall che gestisce e protegge la nosta rete è bloccato.
Bene, si inizia. Scopo del gioco: capire dov'è il problema e far ripartire la rete. I nemici sono: il tempo, la complessità della rete e il fatto che attualmente ci si trova da remoto e quindi nell'impossibilità di accedere ad una qualunque macchina, firewall completo.
Vediamo come procedere.
Step 1 - Shutdown and reboot
Come ogni bravo informatico, conosco la regola fondamentale di ogni gioco. Se un calcolatore non funziona probabilmente si è impallato qualche servizio o il kernel. Si spegne e si riaccende sperando che il problema si risolva magicamente da solo.
Faccio quindi dare il reboot dal nostro CEO al firewall e attendo a dita incrociate.
Il responso è che la macchina sta ripartendo ma, arrivato al caricamento delle regole del firewall sembra come se stia caricando una regola alla volta con una lentezza estrema.
Dal punto in cui la macchina inizia a impallarsi si capisce subito che il problema non è software ma è sulla rete. Indubbiamente, da qualche parte, stanno arrivando una quantità abnorme di dati, talmente enorme che il firewall non ce la fa a gestirli e quindi si affossa.
Lo step successivo è ovvio.
Step 2 - Staccare tutto
Faccio staccare tutti i cavi di rete dal firewall che immediatamente riprende fiato. Ok. Si inizia a riattaccare i cavi di rete. Ma molto lentamente 
Prima il cavo delle nostre macchine personali di lavoro. Tutto ok. Il firewall funziona ancora. Poi il cavo verso INTERNET. Ancora tutto ok. Ora posso finalmente rientrare nel firewall.
Infine il cavo verso la server farm. Buummmm, crashhh, whishhhhhh. Non rifunziona più nulla. Ok, il problema era, come era prevedibile nella server farm.
Indubbiamente c'è qualche macchina che dall'interno sta facendo casino verso l'esterno. Questo era facilmente intuibile perchè se l'attacco proveniva dall'esterno non ci sarebbe stata abbastanza banda per saturare ed affossare il firewall e poi perchè comunque il firewall si sarebbe dovuto impallare subito appena riattaccato il cavo verso INTERNET. E invece si è impallato ora.
Data l'impossibilità di lavorare sul firewall con il cavo di rete verso la server farm collegato, per capire chi e cosa sta affossando tutto, bisogna andare per gradi.
Step 3 - Identificare il servizio sotto attacco
Come prima cosa vediamo di capire se c'è un servizio in particolare sotto utilizzo pressante.
Attivo iptraf sul firewall, mi metto in ascolto sull'interfaccia verso la server farm e faccio attaccare per dieci secondi il cavo di rete facendolo staccare subito dopo per riprendere il controllo del firewall.
Il risultato è evidente.

Qualcuno sta facendo il cattivello sulla porta 53 ossia sta facendo una marea di richieste sui DNS. Vediamo di capire chi.
Step 4 - Identificare la macchina attaccante
Fare questo è ora molto semplice. Sul firewall lanciamo un tcpdump in ascolto sull'interfaccia di rete della server farm che analizza tutti i pacchetti da e per la porta 53 e facciamo scrivere il tutto su di un file.
tcpdump -i eth1 -w tcpdump_attacco.dump port 53
Attacchiamo il cavo di rete della server farm per dieci secondi e stacchiamo per riavere il controllo del firewall. Scarichiamo il file ottenuto sul pc a casa e analizziamolo con Wireshark.

Oh, finalmente abbiamo un IP e quindi il colpevole.
Dovevate sentirmi, per telefono, ad urlare all'amministratore: "Stacca il cavo di rete da quella macchina, spegnila, bruciala!!!!!!".
Ora che tutta la rete è tornata attiva al 100%, per capire se il nostro sabato di relax comincia o siamo solo ad un decimo dell'opera bisogna capire se la macchina è nostra o è un housing di un cliente.
Se la macchina è nostra, sono dolori, in quanto bisognerà capire perchè la macchina sta facendo tutto questo casino e dato che la spiegazione è una sola, qualcuno che è riuscito a fare breccia in qualche vulnerabilità della macchina, ne ha preso il controllo e ora l'ha trasformata in un "mostro", bisognerà capire come è entrato, quali altri danni ha fatto e come riparare al problema. Poi capire chi è il responsabile di aver lasciato una nostra macchina con una vulnerabilità aperta. Un affosso da weekend completo
Per fortuna però la macchina non è nostra ma di un nostro cliente. Quindi rimane li staccata e spenta. Qualcuno lunedi riceverà una telefonata non tanto allegra dal sottoscritto 
Raccontata cosi sembra quasi che la cosa sia stata risolta in dieci minuti. In realtà tra il primo momento di panic-mode, il secondo momento del tipo "non mi ricordo più questa interfaccia di rete dove vada a finire" e il terzo momento in cui vai in "ignore-mode=on" c'è voluta quasi un'ora per venirne a capo.
Vabbè, l'importante è che ora il "vero" sabato può avere inizio.