Ataques DrDoS

A partir del concepto de un ataque Distributed Denial of Service (DDoS), que consiste en lanzar las solicitudes desde una red de ordenadores formada por muchas máquinas sobre las que se ha establecido previamente un control (botnet), nació Reflected Distributed Denial of Service (DrDoS), que rápidamente se extrapoló a otros entornos. Además, el aumento en el número de dispositivos IoT representa nuevas posibilidades, ya que pueden verse comprometidos y comportarse como un elemento más de una botnet.

En esta variante, los atacantes no se limitan a lanzar un gran volumen de solicitudes a sus objetivos, sino que buscan que los paquetes de solicitud de servicio o de acceso que se van a utilizar como base del ataque comiencen con un tamaño pequeño para generar el mayor número posible de ellos.

Además, cuentan con un sistema intermedio que aumenta el tamaño y la complejidad de los paquetes de respuesta, según la solicitud. Estas respuestas se redirigen al sistema objeto del ataque, reemplazando la dirección IP de origen real con la del sistema que se va a atacar. Por lo tanto, un paquete de solicitud de servicio lanzado por el atacante cuyo tamaño es de unos pocos KB o incluso unos pocos Bytes, a través de un sistema intermedio llamado ‘amplificador’, se convierte en un paquete de respuesta, que se redirige al sistema objetivo del ataque con un tamaño significativamente mayor. tamaño, conocido como factor de amplificación o factor multiplicador .

En ataques DrDoS conocidos y documentados, este factor de amplificación puede variar entre 3,8, en ataques DrDoS basados ​​en el protocolo NetBIOS, y un multiplicador de 51.000, en ataques basados ​​en la vulnerabilidad Memcached, es decir, un paquete generado por el atacante de unos pocos KiloBytes llega al sistema atacado con un tamaño multiplicado por entre 3,8 y 51.000, según la técnica y protocolo utilizado.

Si bien el ataque tiene un gran impacto en los sistemas atacados, su efectividad depende del tiempo necesario para generar las solicitudes desde una sola máquina, por pequeño que sea el paquete fuente, ya que el objetivo puede tener la capacidad de absorber un aumento sostenido de peticiones. Además, los administradores del sistema atacado pueden identificar la fuente del ataque y bloquearlo.

Para evitar esto, los atacantes recurren a lanzar las solicitudes originales, no desde una sola máquina, sino desde decenas o miles de ellas, a través de redes botnet bajo su control y utilizando no un único sistema intermedio de amplificación, sino muchos de ellos. Esta combinación da lugar a un ataque que es mucho más difícil de contrarrestar.

Los diversos ataques DrDos suelen basarse en los diferentes servicios y protocolos que utilizan el protocolo UDP (User Data Protocol). Este protocolo no establece una conexión de extremo a extremo, es decir, la comunicación se realiza desde el origen hasta el destino, sin verificar la disponibilidad ni el estado del receptor, utilizando la información de las cabeceras de los paquetes, como la IP de origen. Dirección. Sin embargo, esta dirección puede ser modificada para que el destinatario piense que es de otra fuente, quien así recibiría la respuesta. Esta técnica se conoce como suplantación de identidad .

El protocolo requiere que el receptor devuelva una respuesta a la dirección IP de origen, por lo tanto, si la dirección se modificó en los paquetes UDP, los paquetes de respuesta llegarán a la dirección IP proporcionada por el atacante. Muchas de estas respuestas sobrecargarían a la víctima.

Esta circunstancia no se da cuando la solicitud del servicio se realiza por TCP, donde es imprescindible establecer un canal de conexión entre un remitente y el servidor para que se pueda prestar el servidor.

Como hemos visto, este tipo de ataques nos pueden afectar de varias formas:

  • Nuestros sistemas pueden convertirse en una posible víctima del ataque.
  • Nuestros sistemas actúan como participantes involuntarios de un ataque perpetrado contra un tercero.
  • Nuestros sistemas pueden quedar inutilizados porque su participación en un ataque de este tipo contra un tercero genera en ellos una denegación de servicio.

Consecuencias y motivación

En cualquiera de los escenarios anteriores, el impacto del ataque será directamente proporcional a las funciones que realicen las máquinas afectadas y el tiempo que estén fuera de uso. Hay que tener en cuenta que, si bien la mayoría de los ataques son de corta duración, minutos u horas, existen casos documentados en los que los servicios están fuera de servicio durante varios días.

Las consecuencias financieras de estos ataques se suman al daño reputacional, debido a la pérdida de confianza y credibilidad por parte de los clientes y otras partes interesadas. La falta de uso de los sistemas, aunque sea por un período breve, también puede conllevar una pérdida de datos comerciales y serias complicaciones en sus operaciones, ya que no pueden acceder a información crítica para llevarlas a cabo.

Los ciberdelincuentes tienen varias motivaciones para lanzar este tipo de ataques. Aunque puede tratarse simplemente de vandalismo, normalmente está motivado por la venganza, para obtener algún tipo de beneficio económico a través de la extorsión y el chantaje, puede causar pérdidas económicas a la víctima, guerras comerciales o guerras para captar la atención del público por una determinada causa social o política. .

Defensa

Por las características de este tipo de ataques, cualquier sistema que esté presente en Internet es vulnerable a convertirse en un objetivo potencial. Defenderse de ellos dependerá de la combinación de su tamaño y, por tanto, de su capacidad para absorber los picos de carga de procesamiento y de las medidas de seguridad implementadas para contrarrestar la sobrecarga de solicitudes de servicio que reciben.

Por otro lado, para evitar que los propios sistemas se conviertan en un reflector, la defensa está directamente relacionada con la configuración de estos sistemas, la frecuencia con la que se aplican actualizaciones para corregir vulnerabilidades, su exposición en Internet y las medidas de protección complementarias que se han aplicado.

Los proveedores de servicios de Internet son especialmente relevantes e importantes ante este riesgo, ya que cuentan con los mecanismos necesarios para detectarlos, principalmente identificando paquetes falsificados, bloqueando el tráfico malicioso o, en su defecto, diluyéndolo a través de su infraestructura para que no afecte los sistemas finales de sus clientes. Además, los proveedores de servicios de Internet son una parte interesada en reducir la probabilidad de esta amenaza ya que, si bien no son el objetivo final de los ataques de denegación de servicio, su compromiso con sus clientes en los acuerdos de nivel de servicio afecta directamente sus resultados financieros y reputacionales.

Por otro lado, debido a la forma en que se ejecutan estos ataques, la identificación y persecución de quienes los instigan se dificulta en la mayoría de los casos por el hecho de que actúan a través de sistemas interpuestos, redes botnet y máquinas reflectoras, y desde diferentes áreas geográficas.

Los blogs futuros establecerán una descripción detallada de los ataques DrDoS basados ​​en diferentes protocolos ( DNS , NTP , TFTP , mDNS , LDAP , Memcached , CharGEN , PortMapper , UBNT , NetBIOS , SSDP , QOTD , SNMP y ARD ), y ofrecerán recomendaciones sobre cómo para prevenirlos y detectarlos, así como pautas para establecer protocolos de actuación en caso de ser víctima de ellos.