Desde Linux Darkcrizt  

GNU GMP bloqueo direcciones IP de Microsoft debido a una relación a un ataque DDoS

DDoS


Un ataque DDoS, es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos

Hace poco, Torbjörn Granlund, creador de GNU Multiple Precision Arithmetic Library (GNU GMP), dio a conocer debido a problemas con un script de compilación en GitHub (propiedad de Microsoft) el servidor de GMP comenzó a recibir miles de solicitudes, las cuales se tomaron de manera iniciar como un ataque DDoS.

GMP es una biblioteca de código abierto para aritmética de precisión arbitraria, que opera con números enteros con signo, números racionales y números de coma flotante. No existe un límite práctico para la precisión, excepto los implícitos en la memoria disponible en la máquina en la que se ejecuta GMP. GMP tiene un amplio conjunto de funciones y las funciones tienen una interfaz regular.

Las principales aplicaciones de destino para GMP son aplicaciones e investigación de criptografía, aplicaciones de seguridad de Internet, sistemas de álgebra, investigación de álgebra computacional, etc.

¿Uso legítimo o abuso?

Luego de una revisión Torbjörn Granlund ha advertido a los usuarios que bloqueen el acceso a los servidores que alojan el repositorio del proyecto para toda la gama de direcciones IP de Microsoft.

Los servidores GMP están siendo atacados por varios cientos de direcciones IP propiedad por la cooperación de Microsoft. No sabemos si esto es hecho con malicia por Microsoft, si es algún tipo de error, o si algo de su nube del cliente está ejecutando el ataque. El ataque apunta al repositorio GMP, con miles de solicitudes idénticas. Las solicitudes se eligen inteligentemente en cuanto a provocar una gran carga del sistema.

Estamos cortando todas las direcciones IP de Microsoft como una respuesta de emergencia .

La razón de llevar a acabo el bloqueo pese a conocer la situación, es que se tomó en relación con un ataque DoS, que se expresa en el envío continuo de miles de solicitudes típicas al repositorio desde varios cientos de direcciones IP pertenecientes a las redes de Microsoft. Dado que la actividad observada resultó en una ralentización significativa en el acceso de los desarrolladores al repositorio, como solución temporal, todas las direcciones IP de Microsoft fueron bloqueadas en el firewall.

Sobre el caso Microsoft ha determinado que las solicitudes se envían debido a un script de GitHub creado por el proyecto FFMPeg-Builds que descarga contenido del host gmplib.org.

El script se configuró para ejecutar trabajos paralelos para probar compilaciones en 100 arquitecturas y plataformas diferentes. Según Microsoft, dicha actividad no se considera incorrecta y probablemente se deba al rendimiento insuficiente del servidor, que no puede hacer frente al procesamiento paralelo de solicitudes.

Por su parte, el líder del proyecto GMP no estuvo de acuerdo con esta posición y dijo que el proyecto tiene un servidor moderno bastante potente. El envío de decenas de miles de solicitudes en unas pocas horas, muchas de las cuales ejecutan un comando de clonación de repositorio que requiere compresión de contenido, no puede considerarse legítimo.

Nuestra máquina es bastante poderosa, es una máquina de clase servidor con muchos núcleos y mucha RAM, y su conexión es de 1 GbE a un nivel de un centro datos de primera clase 

Lo que experimentamos fue decenas de miles de solicitudes de 20 diferentes subredes de Microsoft, muchas de las cuales aparentemente tenían comandos de clonación de repo lo que requería que nuestro servidor comprimiera los contenidos. En total unos 8 GiB de datos comprimidos donde se solicitaron, seguramente muchas veces más para el
servidor para comprimir. Todo en unas pocas horas antes de que se protegiera el servidor del ataque de direcciones IP desactivadas.

Este NO es un uso legítimo de ningún servidor en Internet. Tu respuesta (Microsoft) parece sugerir que es culpa nuestra, que deberíamos tener más potentes servidores para adaptarse a este comportamiento. ¿En realidad?

En total, como parte de la actividad observada, se entregaron alrededor de 8 GB de datos comprimidos y se siguen recibiendo solicitudes, lo cual es inaceptable, por lo que aún no se eliminará el bloqueo de redes de Microsoft.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.