Los ataques de DDoS están a la orden del día en el mundo tecnológico, y como hemos visto en las últimas noticias están alcanzando grandes cantidades en lo que a Gbps
se refiere. La búsqueda de protocolos con los que se consiga un nivel
de amplificación grande es uno de los objetivos de los atacantes, ya que
permite con un volumen bajo de petición conseguir un resultado potente
en la respuesta. ¿Qué es un DRDoS? Un ataque de denegación de servicio
reflexivo distribuido consiste en utilizar servidores públicos UDP, y
conseguir un factor de amplificación del ancho de banda con el que dejar
"frito" a la víctima. Se apoyan en la utilización de técnicas como IP
Spoofing para "redirigir" el tráfico hacia a la víctima. Por lo que por
un lado amplificamos y por otro lado redirigimos el tráfico.
Según el CERT de US, podemos identificar ciertos protocolos UDP como vectores de ataque,
los cuales pueden resultar muy interesante de conocer y estudiar como
explotarlo: DNS, NTP, SNMPv2, NetBIOS, SSDP, BitTorrent, Chargen, QOTD,
etcétera.
El protocolo UDP no valida las direcciones IP de origen, de ello
debería encargarse el protocolo de la capa de aplicación, por lo que si
éste no lo hace tenemos un problema. Es realmente fácil falsificar un
datagrama IP para meter una dirección de origen falsa, la que nosotros
queramos, en el caso malicioso la de la víctima. Cuando muchos paquetes
UDP tienen como dirección IP de origen una en concreto, los servidores
contestarán a esa dirección y haremos daño creando una negación
reflejada, es decir, muchos servidores contestarán al equipo de la
víctima "friéndole".
Diversos protocolos UDP responden con paquetes mucho más grande que las
peticiones originarias de dichas respuestas, es decir, si realizar una
petición DNS me costase 1 byte y la respuesta pesa 30 bytes (son ejemplos no reales), obtendríamos un factor de 30 de amplificación,
por lo que si repartimos máquinas por el mundo (o alquilamos botnet) y
hacemos ese tipo de peticiones contra servidores públicos (pongamos 1000
servidores) con una dirección IP falsa, ¿Qué ocurre? Pues que el pobre
equipo con la dirección IP recibirá muchas respuestas (que él no pidió)
y, además amplificadas, es decir, con mucho más peso... ¿Interesante? El concepto es real y sencillo.
El CERT de US ha medido el efecto potencial de un ataque de amplificación utilizando la métrica denominada BAF, factor de amplificación de ancho de banda. A continuación os dejo los resultados que se pueden obtener de esta métrica:
Fuente: http://www.flu-project.com/2014/02/ataques-de-amplificacion-basados-en-el.html
No hay comentarios:
Publicar un comentario