[hackmeeting] Fw: [Nodo50] Nota Urgente: Ataque contra Nodo50

Carlos S. Olmo Bau olmobau en terra.es
Sab Ene 19 08:48:02 CET 2002 

Es posible que os haya llegado por otros lados... pero por si acaso...

Carlos.

----- Original Message -----
From: "nodo50" <ayuda en nodo50.org>
To: <ayuda en nodo50.org>
Sent: Saturday, January 19, 2002 2:35 AM
Subject: [Nodo50] Nota Urgente: Ataque contra Nodo50


Nodo50: por nuestro derecho a informar libremente
18 de enero de 2002
http://www.nodo50.org/criminalizacion_mov_sociales/nodo50

Ayer, jueves 17 de enero de 2002, Nodo50 sufrió un ataque contra su
servidor web. Esta acción anónima dejó inaccesibles, durante varias
horas, todas las páginas web alojadas en nuestros servidor, 436
organizaciones (http://www.nodo50.org/organi.php?x=%) no pudieron
comunicar libremente y los miles de visitantes diarios no pudieron
acceder a esa información.

La Asamblea de Nodo50 considera que las noticias aparecidas en los
últimos días en varios medios de comunicación, en las que se criminaliza
a los proyectos telemáticos de la "Red de Contrainformación UE 2002",
crean el ambiente propicio para este tipo de ataques. El origen de la
noticia es la agencia Colpisa, la nota original se puede leer aquí:
http://www.nodo50.org/criminalizacion_mov_sociales/nodo50/colpisa.htm

No es la primera vez que se juntan filtraciones policiales y periodistas
intoxicadores para generar noticias como esta, donde se mezclan todo
tipo de fantasmas y mentiras y cuyo fin es criminalizar actos
perfectamente legítimos y legales, como son el derecho a informar e
informarse libremente, y así sembrar sospechas que luego justifiquen
otro tipo de acciones. No es tampoco la primera vez que Nodo50 sufre
ataques que pretenden justificarse con falsas acusaciones.

Sabemos que este no será el último ataque y que, con motivo de la
presidencia española de la Unión Europea, el Gobierno español pretender
avanzar en el camino de la represión contra las personas (de un amplio
abanico ideológico) que se movilicen contra la Europa de los banqueros y
las multinacionales.

Identificar nuestro trabajo político con eso que llaman "los violentos"
es una interesada simplificación del trabajo del medio de millar de
organizaciones que comunican en la red a través de Nodo50.

Seguiremos peleando por la libertad de expresión y por el derecho a
informar. Desde nuestros modestos medios pero con absoluta firmeza y
convicción.

  Un abrazo

   Asamblea de Nodo50



A continuación tenéis un informe técnico que hemos elaborado sobre este
ataque:

Durante 24 horas un ataque de denegación de servicio DoS fue lanzado
contra el servidor web de Nodo50. El ataque, conocido como SYN flooding,
se aprovecha de una de las vulnerabilidades del diseño del TCP. El
atacante(s) envía numerosos paquetes SYN con cabecera de origen falsa
(IP spoofing), el servidor mantiene el estado SYN_RECV hasta que se
complete el three-way-handshake de establecido de conexión TCP. Es
posible agotar los recursos del servidor enviando cientos de peticiones
SYN como cabeceras de origen falsas y manteniendo el servidor con todas
sus conexiones disponibles en estado SYN_RECV a la espera del tercer
paquete ACK.

El primer octeto de las direcciones de origen del ataque comenzaban por
la secuencias: 4, 24, 64, 128, 129, 193, 194, 198, 199, 205, 206, 208,
209, 210, 211, 216

y los paquetes tenían el formato

14:28:37.569736 193.70.1.20.1056 > 213.195.75.247.80: S
2079528569:2079528569(0) win 2920 <mss 1460,nop,[bad opt]> (DF)
4500 0030 1e40 4000 7506 0373 c146 0114  |  E . . 0 . @ @ . u . . s . F
d5c3 4bf7 0420 0050 7bf3 1679 0000 0000  |  . . K . .   . P . . . y . .
7002 0b68 fcc3 0000 0204 05b4 0102 0403  |  p . . h . . . . . . . . . .

Tanto las opciones del paquete SYN como el conjunto de IP de origen de
los paquetes nos apuntó a que se estaba usando el código de un conocido
SYN flooder llamado juno-z.

A las 18:00 de ayer fuimos capaces de parar el ataque, para ello
utilizamos filtros dinámicos, filtrando todos los paquetes cuya opciones
SYN respondían a la implementación de SYN flooding de juno-z.

El ataque continuó hasta las 00.13 hs. del 18/01/02, en que se dejaron
de recibir los paquetes SYN.



--

=====================================================================
Asamblea de Nodo50
Teléfono y fax de contacto 913545041, de 9:30 a 13:30 y de 17 a 19 de
lunes a jueves
y de 9:30 a 13:30 los viernes
mailto:ayuda en nodo50.org
http://www.nodo50.org
=====================================================================

Más información sobre la lista de distribución HackMeeting