Ataque contra Nodo50
English version Nodo50: por nuestro derecho a informar libremente
18 de enero de 2002
http://www.nodo50.org/criminalizacion_mov_sociales/nodo50
ayuda@nodo50.org
Publica tu mensaje ·····>

Ayer, jueves 17 de enero de 2002, Nodo50 sufrió un ataque contra su servidor web. Esta acción anónima dejó inaccesibles, durante varias horas, todas las páginas web alojadas en nuestros servidor, 436 organizaciones (http://www.nodo50.org/organi.php?x=%) no pudieron comunicar libremente y los miles de visitantes diarios no pudieron acceder a esa información.

La Asamblea de Nodo50 considera que las noticias aparecidas en los últimos días en varios medios de comunicación, en las que se criminaliza a los proyectos telemáticos de la "Red de Contrainformación UE 2002", crean el ambiente propicio para este tipo de ataques. El origen de la noticia es la agencia Colpisa, la nota original se puede leer aquí: http://www.nodo50.org/criminalizacion_mov_sociales/nodo50/colpisa.htm

No es la primera vez que se juntan filtraciones policiales y periodistas intoxicadores para generar noticias como esta, donde se mezclan todo tipo de fantasmas y mentiras y cuyo fin es criminalizar actos perfectamente legítimos y legales, como son el derecho a informar e informarse libremente, y así sembrar sospechas que luego justifiquen otro tipo de acciones. No es tampoco la primera vez que Nodo50 sufre ataques que pretenden justificarse con falsas acusaciones.

Sabemos que este no será el último ataque y que, con motivo de la presidencia española de la Unión Europea, el Gobierno español pretender avanzar en el camino de la represión contra las personas (de un amplio abanico ideológico) que se movilicen contra la Europa de los banqueros y las multinacionales.

Identificar nuestro trabajo político con eso que llaman "los violentos" es una interesada simplificación del trabajo del medio de millar de organizaciones que comunican en la red a través de Nodo50.

Seguiremos peleando por la libertad de expresión y por el derecho a informar. Desde nuestros modestos medios pero con absoluta firmeza y convicción.

Un abrazo

Asamblea de Nodo50

 

  A continuación tenéis un informe técnico que hemos elaborado sobre este ataque:

Durante 24 horas un ataque de denegación de servicio DoS fue lanzado contra el servidor web de Nodo50. El ataque, conocido como SYN flooding, se aprovecha de una de las vulnerabilidades del diseño del TCP. El atacante(s) envía numerosos paquetes SYN con cabecera de origen falsa (IP spoofing), el servidor mantiene el estado SYN_RECV hasta que se complete el three-way-handshake de establecido de conexión TCP. Es posible agotar los recursos del servidor enviando cientos de peticiones SYN con cabeceras de origen falsas y manteniendo el servidor con todas sus conexiones disponibles en estado SYN_RECV a la espera del tercer paquete ACK.

esquema DoS

El primer octeto de las direcciones de origen del ataque comenzaban por la secuencias: 4, 24, 64, 128, 129, 193, 194, 198, 199, 205, 206, 208, 209, 210, 211, 216

y los paquetes tenían el formato

paquetes SYN

Tanto las opciones del paquete SYN como el conjunto de IP de origen de los paquetes nos apuntó a que se estaba usando el código de un conocido SYN flooder llamado juno-z.

A las 18:00 de ayer fuimos capaces de parar el ataque, para ello utilizamos filtros dinámicos, filtrando todos los paquetes cuya opciones SYN respondían a la implementación de SYN flooding de juno-z.

El ataque continuó hasta las 00.13 hs. del 18/01/02, en que se dejaron de recibir los paquetes SYN.