D.O.S. totalmente involuntario. (lo juro!)
D.O.S. - Denegación de servicio.
Honeyd - El producto
Hace unos años atras mientras evaluaba el Honeyd, cometí un error en forma totalmente involuntaria, pero generé un D.O.S. masivo durante unas horas.
Recomiendo leer esto antes de hacer nada!!!!
Estoy seguro que leyendo, estudiando manuales, preguntando se aprenden muchas cosas, pero muchísimas cosas mas se aprenden probando los productos. Los manuales siempre dicen las cosas que se deben hacer para obtener algo y siempre hablan de cuando algo funciona bien.
Son muy pocos o tendiendo a cero, los manuales que hablan de las posibles cosas que podrían funcionar mal, de como solucionar posibles problemas, de que cosas son mas importantes del producto, digamos, de las cosas que "a mi" como usuario experto me interesan, no soy el típico usuario final.
El problema ocurrió probando Honeyd, un producto de software para simular servidores, redes, routers o hardware/software diverso.
Trabajaba en un organismo y para "no pertenecer" a su red lógica defino un rango IP "mio".
Utilizo mi portátil y una VM con Linux, instalo dentro Honeyd, luego arpd y honeyview.
Me conecto físicamente a esa red para actualizar el Linux y poder acceder via SSH a ese servidor desde mi equipo "oficial".
Activo el Honeyd y empiezo a ver los logs, al mismo tiempo desde otro equipo de la misma red física, intento conectarme al puerto Telnet del equipo VM, para probar el Honeyd.
Comienzo a ver todo el proceso, intentos de conexión Telnet, que decía "honeyd", los logs.....
Unos minutos despues comienzo a escuchar comentarios del tipo "eppppa se fue la red", "se cayó xxxxxxx", "no te anda ttttttt", "no anda internet"...... trabajaba en un sector donde veía mas de 30 personas y muchas de ellas se paraban y reclamaban que algo no les funcionaba...
Los administradores y operadores se comienzan a alterar y mucha gente empieza a correr por los pasillos... Aumenta el volúmen de las voces... Pasaban los minutos y algunos operadores se levantaban y se ponian a caminar, llamadas por teléfono.....
En un primer momento yo seguía en mi tema y no le daba importancia a esos comentarios, estaba metido en mi tema y eso funcionaba correctamente....
pero un rato despues una de mis pocas neuronas dice "no tendrá que ver honeyd????............"
un octavo de segundo despues de eso, desconecto mi portátil de la red... y veo como empiezan los comentarios del tipo "ahora funciona internet", "a mi me anda xxxxxxx", "volvió wwwwwwwwww", "ya funciona"........
UPPPPPSSSSSSSSSSSSSS, habrá sido.......... SI.
descubro que era finalmente Honeyd..... (y yo también).
Me puse a analisar toda la situación, si no encontraba el "porqué", no podía seguir "jugando" con el honeyd en esta red.
Efectivamente lo que ocurrió fue que:
el honeyd estaba en un rango de IP creado por mi, entre mi portátil y mi equipo de la oficina, existía otro rango IP "OFICIAL" de la oficina..... el honeyd trabajando en modo promiscuo veía que le llegaban paquetes de una red que no era la suya y los "reseteaba" con un paquete "RST" al originante..... Indirectamente estaba haciendo un D.O.S. de todas las conexiones que eran "buenas" en la red local, porque las entendía como "irregulares".....
Por suerte nunca se supo que ocurrió ese dia, la administración de redes vió que se cortaban todas las conexiones entre todos los equipos de la red.....
Yo aprendí mucho mas que como configurar honeyd........
Honeyd - El producto
Hace unos años atras mientras evaluaba el Honeyd, cometí un error en forma totalmente involuntaria, pero generé un D.O.S. masivo durante unas horas.
Recomiendo leer esto antes de hacer nada!!!!
Estoy seguro que leyendo, estudiando manuales, preguntando se aprenden muchas cosas, pero muchísimas cosas mas se aprenden probando los productos. Los manuales siempre dicen las cosas que se deben hacer para obtener algo y siempre hablan de cuando algo funciona bien.
Son muy pocos o tendiendo a cero, los manuales que hablan de las posibles cosas que podrían funcionar mal, de como solucionar posibles problemas, de que cosas son mas importantes del producto, digamos, de las cosas que "a mi" como usuario experto me interesan, no soy el típico usuario final.
El problema ocurrió probando Honeyd, un producto de software para simular servidores, redes, routers o hardware/software diverso.
Trabajaba en un organismo y para "no pertenecer" a su red lógica defino un rango IP "mio".
Utilizo mi portátil y una VM con Linux, instalo dentro Honeyd, luego arpd y honeyview.
Me conecto físicamente a esa red para actualizar el Linux y poder acceder via SSH a ese servidor desde mi equipo "oficial".
Activo el Honeyd y empiezo a ver los logs, al mismo tiempo desde otro equipo de la misma red física, intento conectarme al puerto Telnet del equipo VM, para probar el Honeyd.
Comienzo a ver todo el proceso, intentos de conexión Telnet, que decía "honeyd", los logs.....
Unos minutos despues comienzo a escuchar comentarios del tipo "eppppa se fue la red", "se cayó xxxxxxx", "no te anda ttttttt", "no anda internet"...... trabajaba en un sector donde veía mas de 30 personas y muchas de ellas se paraban y reclamaban que algo no les funcionaba...
Los administradores y operadores se comienzan a alterar y mucha gente empieza a correr por los pasillos... Aumenta el volúmen de las voces... Pasaban los minutos y algunos operadores se levantaban y se ponian a caminar, llamadas por teléfono.....
En un primer momento yo seguía en mi tema y no le daba importancia a esos comentarios, estaba metido en mi tema y eso funcionaba correctamente....
pero un rato despues una de mis pocas neuronas dice "no tendrá que ver honeyd????............"
un octavo de segundo despues de eso, desconecto mi portátil de la red... y veo como empiezan los comentarios del tipo "ahora funciona internet", "a mi me anda xxxxxxx", "volvió wwwwwwwwww", "ya funciona"........
UPPPPPSSSSSSSSSSSSSS, habrá sido.......... SI.
descubro que era finalmente Honeyd..... (y yo también).
Me puse a analisar toda la situación, si no encontraba el "porqué", no podía seguir "jugando" con el honeyd en esta red.
Efectivamente lo que ocurrió fue que:
el honeyd estaba en un rango de IP creado por mi, entre mi portátil y mi equipo de la oficina, existía otro rango IP "OFICIAL" de la oficina..... el honeyd trabajando en modo promiscuo veía que le llegaban paquetes de una red que no era la suya y los "reseteaba" con un paquete "RST" al originante..... Indirectamente estaba haciendo un D.O.S. de todas las conexiones que eran "buenas" en la red local, porque las entendía como "irregulares".....
Por suerte nunca se supo que ocurrió ese dia, la administración de redes vió que se cortaban todas las conexiones entre todos los equipos de la red.....
Yo aprendí mucho mas que como configurar honeyd........
Comentarios