domingo, 12 de julio de 2026

FSF Bloquea Botnets Masivas con Reaction

La Free Software Foundation (FSF) ha estado enfrentando durante casi dos años un bombardeo constante de rastreadores web, muchos de ellos dedicados agresivamente a extraer datos de entrenamiento para modelos de inteligencia artificial. La situación alcanzó un punto crítico cuando una botnet que controlaba aproximadamente cinco millones de direcciones IP atacó uno de sus sistemas durante seis meses completos en 2025. Los administradores de sistemas de la FSF consideran estos ataques como verdaderos ataques de denegación de servicio distribuidos (DDoS).

FSF Bloquea Botnets Masivas con Reaction

Para combatir esta amenaza, el equipo técnico de la FSF identificó patrones anormales en el comportamiento de los rastreadores, lo que les permitió crear expresiones regulares específicas. Al analizar estas expresiones, obtuvieron extensas listas de direcciones IP sospechosas. La investigación reveló algo preocupante: algunos rastreadores estaban utilizando botnets de direcciones IP residenciales para acelerar el raspado de datos y evitar la detección. Tras investigar qué tipo de botnets podrían estar generando este tráfico, sospecharon de la botnet "Vo1d", compuesta por televisores inteligentes que ejecutaban aplicaciones comprometidas. Posteriormente confirmaron que al menos parte del tráfico malicioso en GNU Savannah provenía de la botnet Vo1d/Popa.

Inicialmente, implementaron sus expresiones regulares en fail2ban, pero rápidamente alcanzaron el límite máximo de reglas que podían añadirse al firewall UFW en sus sistemas, experimentando degradación del rendimiento alrededor de las 65,000 reglas. La solución llegó cuando descubrieron ipset, que les permitió configurar fail2ban para añadir direcciones IP a conjuntos de IP. Con ipset lograron construir conjuntos mucho más grandes sin encontrar inestabilidad, incluso con hasta cinco millones de reglas.

El verdadero punto de inflexión fue el descubrimiento de un proyecto prometedor llamado "reaction", desarrollado por ppom en Framagit de Framasoft. Después de enfrentar problemas de escalabilidad con su implementación inicial, desarrollaron una versión mucho más rápida donde el proceso de apagado de reaction exportaba los conjuntos de IP al disco y el proceso de inicio los restauraba. Esto permitió reinicios casi instantáneos del servicio para aplicar nuevas reglas. La FSF compartió sus configuraciones en la wiki de reaction para que toda la comunidad pudiera beneficiarse. El administrador de sistemas enfatiza que aunque muchos conocen fail2ban, no suficientes personas conocen reaction, una herramienta que actualmente realiza la mayor parte del trabajo automatizado para mantener sus sitios en línea.

Fuente Original: https://news.slashdot.org/story/26/07/11/0450256/how-the-fsf-sysadmins-are-blocking-botnets-with-reaction?utm_source=rss1.0mainlinkanon&utm_medium=feed

Artículos relacionados de LaRebelión:

Artículo generado mediante LaRebelionBOT

No hay comentarios:

Publicar un comentario