Llegim a Nodo50 que a les 18:00 de divendres van patir un atac contra el seu servidor web, aquest atac anónim, que va deixar durant forces hores totes les pàgines hostatjades inaccessibles (436 organitzacions), va provocar que els milers d'usuaris diaris no hi poguessin entrar.

L'assemblea de Nodo50 considera que les notícies aparegudes els últims dies a diferents mitjans de comunicació, on es criminalitzava els projectes telemàtics de la "Red de Contrainformación UE 2002", creen l'ambient adequat per aquest tipus d'atacs. L'origen de la notícia és l'agència Colpisa, podeu llegir la nota aquí.

A continuació hi ha l'informe tècnic detallat:

Durante 24 horas un ataque de denegación de servicio DoS fue lanzado contra el servidor web de Nodo50. El ataque, conocido como SYN flooding,

se aprovecha de una de las vulnerabilidades del diseño del TCP. El atacante(s) envía numerosos paquetes SYN con cabecera de origen falsa

(IP spoofing), el servidor mantiene el estado SYN_RECV hasta que se complete el lhree-way-handshake de establecido de conexión TCP. Es posible agotar los recursos del servidor enviando cientos de peticiones SYN como cabeceras de origen falsas y manteniendo el servidor con todas

sus conexiones disponibles en estado SYN_RECV a la espera del tercer paquete ACK.

El primer octeto de las direcciones de origen del ataque comenzaban por la secuencias: 4, 24, 64, 128, 129, 193, 194, 198, 199, 205, 206, 208, 209, 210, 211, 216 y los paquetes tenían el formato:

14:28:37.569736 193.70.1.20.1056 > 213.195.75.247.80: S

2079528569:2079528569(0) win 2920 (DF)

4500 0030 1e40 4000 7506 0373 c146 0114 | E . . 0 . @ @ . u . . s . F

d5c3 4bf7 0420 0050 7bf3 1679 0000 0000 | . . K . . . P . . . y . .

7002 0b68 fcc3 0000 0204 05b4 0102 0403 | p . . h . . . . . . . . . .

Tanto las opciones del paquete SYN como el conjunto de IP de origen de los paquetes nos apuntó a que se estaba usando el código de un conocido

SYN flooder llamado juno-z.

A las 18:00 de ayer fuimos capaces de parar el ataque, para ello utilizamos filtros dinámicos, filtrando todos los paquetes cuya opciones

SYN respondían a la implementación de SYN flooding de juno-z.

El ataque continuó hasta las 00.13 hs. del 18/01/02, en que se dejaron de recibir los paquetes SYN.