Un virus indetectable ralentiza la red

¿Un Virus indetectable?

Aquel otoño hubiera quedado en el olvido si no fuera por el caso del «virus indetectable».   En nuestro bastión de soporte atendíamos consultas sencillas para activar productos o configurar equipos.  No habían casos interesantes a la vista y el letargo analítico nos iba gobernando hasta que llegó un correo electrónico con el siguiente mensaje: «El antivirus adquirido no es efectivo ante un virus indetectable que ha ralentizado toda nuestra red.  Es urgente que nos brinden asistencia in-situ para resolver este problema que perjudica terriblemente las labores en nuestra institución». Sin mayor dilación nos dirigimos a atender el caso.  La institución era una dependencia estatal de alcance nacional que recientemente había realizado una inversión millonaria para renovar todo su cableado estructurado y su datacenter.  Estaban en shock porque su flamante infraestructura de red que en un principio literalmente volaba en transferencia de datos, ahora se demoraba más de un minuto para que cualquier PC pudiera loguearse al dominio.  Acusaban con ferocidad al producto antivirus (sí, fuimos los proveedores) de no poder detectar y erradicar al virus que habia invadido la red provocando una saturación intolerable. El Administrador de red era un zambito de múltiples certificaciones, recién llegado desde un ISP europeo.  Nos permitió realizar todo tipo de pruebas en la red, sin embargo no teníamos acceso al renovado datacenter, que era una habitación con ventanales de lunas polarizadas que impedían la visibilidad.   El jefe de Sistemas era un caballero respetable de la vieja escuela, bien entrado en años, que a simple vista se había quedado a nivel técnico en la «tortuga de logo» (tarea para la casa, wilsoniano), pero se había especializado en gestión administrativa, lo cual es muy común en estos tiempos: Ingeniería devenida en papeluchería (con total respeto).  Como el datacenter era nuevo, ni el administrador de red, ni el jefe de sistemas poseían la llave a esa instalación; tenían que tramitar un procedimiento interno para conseguir ese acceso (bendita burocracia). Toda la tarde y hasta entrada la noche mi equipo y yo realizamos múltiples análisis, por segmento, por piso, por equipos sospechosos.  No habia rastro de ningún malware que se repitiese en los equipos como ocurre en una infección masiva.  Eliminamos manualmente spywares, toolbars y adwares que suelen escaparse a la detección de los antivirus.  Todas eran muestras distintas entre sí, ninguna se repetía.  Algo raro se cocinaba en aquella red.

Un loop a la vista...

En aquel entonces no existía el famoso sniffer Wireshark (no con ese nombre).  Su predecesor se llamaba Ethereal y esta herramienta nos dió unas pistas de lo que sucedía en la red: se había formado un bucle o LOOP.  Lamentablemente sin acceso físico al datacenter continuamos en el limbo de la incertidumbre. El jefe de sistemas, muy mortificado nos exigía continuar sin descanso hasta resolver el problema, por lo que puse como condición necesaria la apertura del datacenter.  Cerca de medianoche recién consiguieron la llave y pudimos acceder al corazón de la infraestructura. Al inspeccionar visualmente los paquetes de cables finamente ordenados (recuerden que era un cableado nuevo… y millonario!) no fueron necesarios más que un par de minutos para detectar al culpable de todo este infierno:  un cable retorcido, maltrecho, que se veía disonante entre tanta pulcritud, estaba haciendo un puente siniestro entre la LAN y la DMZ donde estaban ubicados los servidores. Sin demora desconecté ambos extremos de ese cable parásito, y apagamos todos los switchs de borde para forzar la reinicialización de las tablas CAM – Memoria de Contenido Direccionable (donde los switches graban temporalmente el direccionamiento de las direcciones MAC).  Al encender nuevamente estos dispositivos, se realizó una prueba de login al dominio…. y voilá!  El acceso fue instantáneo, la red era una bala.  El alma nos retornó al cuerpo a muchos aquella noche. Los switchs que tenían apilados eran de capa 2, no eran administrables, y por tanto no disponían de control de tormentas de broadcast, ni la implementación del protocolo STP (Spanning Tree Protocol) que evita la formación de loops o rutas en bucle.  En esa Institución fueron víctimas de un absurdo cable de red.  ¿Instalado adrede? ¿Novatada de principiante? ¿Al mejor tirador se le escapa la bala?  – Vaya uno a saber.  Dejé en sus manos la búsqueda del responsable de colocar aquel cable, aunque al ver el rostro desencajado del zambito mientras yo le comunicaba a su Jefe lo acontecido, era evidente que él sabía muy bien las respuestas a nuestras interrogantes.

Apuntes finales

Para finalizar este relato, hay que tomar en cuenta que utilizando un sniffer de red podemos observar que los loops de enrutamiento muestran múltiples paquetes casi idénticos con la única diferencia que el TTL (tiempo de vida) va decrementando su valor hasta llegar a cero, donde el paquete es descartado.  

Y para el caso de loops físicos (un mismo cable ethernet en dos puertos del mismo switch) se observarán múltiples paquetes idénticos y con el mismo TTL (porque el paquete no atraviesa ningún router que decremente su valor).

Si deseas hacer una prueba real de Ioop fisico, coloca ambos extremos de un patch cord en el router de tu casa, a la vez que haces un ping permanente hacia los DNS de Google, y observa después de algunos segundos como se va degradando el tiempo de respuesta hasta que el dispositivo se satura y el destino se vuelve inalcanzable; es un ejemplo práctico del efecto de una denegación de servicio (DoS – Denial of Service).   

Hoy en día un switch administrable que maneja el protocolo STP es accesible al bolsillo, así que ya no compres juguetes para usarlos en redes decentes.

PD: Lectura recomendada: Fantasmas en mi PC

Redactado por Tezé, 07/febrero/2018

1 comentario en “Un virus indetectable ralentiza la red”

Deja un comentario