Durante el último tiempo, se puede decir dos años, hemos notado un gran incremento en la utilización del puerto 1900 para llevar a cabo ataques de denegación de servicio distribuido. La justificación de este patrón de comportamiento por parte de los atacantes, se debe a la utilización de una técnica denominada amplificación o reflectación, ya que en el puerto 1900 corre un protocolo denominado SSDP (Simple Service Discovery Protocol) que posee un factor de amplificación de 30.

Un cliente nos llamo por un supuesto ataque de denegacion de servicio que sufrieron hace algunos dias. Baiscamente la arquitectura es un RP (ReverseProxy), con mod_security & mod_evasive, un proxy IBM (Webseal), dos servidores de aplicaciones y una base de datos con su correspondiente stand by. Los equipos se encuentran en vlans separadas, las comunicaciones se hacen mediante un FW (Firewall) ASA (Cisco). Mod_Security & mod_evasive estaban desactivados para el sitio que supuestamente fue atacado.

Viendo el post de hace unos dias del amigo @State_X con su post de Corero.- ¿Cuanto Dinero Puede Perder Mi empresa Con Un Ataque DDoS? me puse a ver recien la pagina y ver la herramienta que nos brinda para calcular ante un ataque de Denegación de Servicio que tanto afecta a la empresa, revisando los links y viendo un poco sobre el sitio observe la existencia de un libro el cual es DDoS for Dummies de la serie querida que nos enseñan desde 0 el cual nos permite conocer mas sobre este tipos de ataques, un resumen de lo que tiene el libro: Definición de ataques DDoS