Teorías de un jadcodiano: Ataques de amplificación basados en el protocolo UDP

jueves, 29 de mayo de 2014

Ataques de amplificación basados en el protocolo UDP

Los ataques de DDoS están a la orden del día en el mundo tecnológico, y como hemos visto en las últimas noticias están alcanzando grandes cantidades en lo que a Gbps se refiere. La búsqueda de protocolos con los que se consiga un nivel de amplificación grande es uno de los objetivos de los atacantes, ya que permite con un volumen bajo de petición conseguir un resultado potente en la respuesta. ¿Qué es un DRDoS? Un ataque de denegación de servicio reflexivo distribuido consiste en utilizar servidores públicos UDP, y conseguir un factor de amplificación del ancho de banda con el que dejar "frito" a la víctima. Se apoyan en la utilización de técnicas como IP Spoofing para "redirigir" el tráfico hacia a la víctima. Por lo que por un lado amplificamos y por otro lado redirigimos el tráfico.

Según el CERT de US, podemos identificar ciertos protocolos UDP como vectores de ataque, los cuales pueden resultar muy interesante de conocer y estudiar como explotarlo: DNS, NTP, SNMPv2, NetBIOS, SSDP, BitTorrent, Chargen, QOTD, etcétera.

El protocolo UDP no valida las direcciones IP de origen, de ello debería encargarse el protocolo de la capa de aplicación, por lo que si éste no lo hace tenemos un problema. Es realmente fácil falsificar un datagrama IP para meter una dirección de origen falsa, la que nosotros queramos, en el caso malicioso la de la víctima. Cuando muchos paquetes UDP tienen como dirección IP de origen una en concreto, los servidores contestarán a esa dirección y haremos daño creando una negación reflejada, es decir, muchos servidores contestarán al equipo de la víctima "friéndole".

Diversos protocolos UDP responden con paquetes mucho más grande que las peticiones originarias de dichas respuestas, es decir, si realizar una petición DNS me costase 1 byte y la respuesta pesa 30 bytes (son ejemplos no reales), obtendríamos un factor de 30 de amplificación, por lo que si repartimos máquinas por el mundo (o alquilamos botnet) y hacemos ese tipo de peticiones contra servidores públicos (pongamos 1000 servidores) con una dirección IP falsa, ¿Qué ocurre? Pues que el pobre equipo con la dirección IP recibirá muchas respuestas (que él no pidió) y, además amplificadas, es decir, con mucho más peso... ¿Interesante? El concepto es real y sencillo.

El CERT de US ha medido el efecto potencial de un ataque de amplificación utilizando la métrica denominada BAF, factor de amplificación de ancho de banda. A continuación os dejo los resultados que se pueden obtener de esta métrica: