DNS Amplification Attack, la pesadilla de las telcos.

Los ataques de Denegación de Servicio no son algo nuevo, pero debido al devenir de las redes (principalmente por el incremento de ancho de banda de los accesos), la forma de llevarlos a cabo ha evolucionado.

La subida de los accesos se está multiplicando, y los accesos de fibra son especialmente golosos en este aspecto (unos 10Mbps). Y no olvidemos que las troncales son de unos 100Gbps.

Con esta situación en los ataques amplificados lo que se busca es un servicio que responda con una cantidad de datos mayor que la original (ya sea por el propio funcionamiento del servicio o por un bug) y que no valide el origen (típicamente que el tráfico sea UDP). De este modo, con poco ancho de banda de subida se puede multiplicar el tráfico generado, y al hacer spoofing (suplantar la identidad), la respuesta se deriva directamente al objetivo del ataque. Por lo que con pequeños accesos de unos cientos de Kbps se puede generar un tráfico de decenas de Mbps. Ahora bien, para que esas decenas de Mbps sean efectivas el canuto de subida tiene que ser acorde.

Hace unos años cuando los servidores eran los únicos que tenían una conexión 10/100/1000, un DoS pasaba por organizar a miles de personas (o bots, que podían ser troyanos) contra un objetivo y/o controlar varios servidores con mucho ancho de banda. Actualmente esto no ha cambiado demasiado y siguen existiendo ataques SYN flood y de cualquier variante de inundación, ya sea mediante UDP, ICMP, HTTP/GET… pero los ataques DoS vía DNS han crecido rápidamente y parece que han llegado para quedarse.

DNS, ¿por qué?

Podríamos decir que los servidores de DNS son la base de Internet. Son los que se encargan de traducir los nombres de dominio en una dirección real, por lo que tienen que estar siempre activos, y sin ellos no podríamos navegar. ¿Quien accede a google escribiendo http://173.194.34.223/? Eso es, nadie.

Por lo tanto, tomar el control de un servidor DNS haría que se pudiera redirigir el tráfico de los usuarios de ese DNS a donde se quisiera sin que ellos tan siquiera se enterasen (pharming). Pero sin llegar tan lejos, se pueden usar estos servidores en su funcionamiento normal para actividades poco éticas como el hacer un DoS.

flood

¿Y esto por qué sucede con un funcionamiento normal?

Pues porque normal no significa que sea correcto. Lo normal es que si pierdes la cartera, el que la encuentra “la limpie” antes de devolverla, pero no es lo correcto.

Aquí sucede lo mismo, muchos administradores dejan servidores DNS recursivos abiertos al mundo, en vez de asegurar que sólo clientes autorizados lo usen, por ejemplo limitarlo sólo a los clientes del rango de la empresa. Aquí la seguridad por oscuridad funciona hasta que un bot escaneando puertos 53 descubre el servidor DNS y comienza a ser utilizado en ataques DDoS.

options { recursion no;};

¿Y las Telcos por qué están preocupadas? (o deberían de estarlo…)

Básicamente porque los recursos de red son limitados, y ataques de DoS pueden hacer que toda una red se colapse, o que todo internet vaya mucho más lento [1].

Habría que diferenciar tipos de clientes. En general los usuarios domésticos no son víctimas de ataques de DNS porque no suelen tener un servidor DNS en su casa, por lo que muchos operadores deciden bloquear el acceso a puertos como el 53 para evitar problemas (con mayor o menor fortuna).

Pero cuando un operador da servicios a empresas, tiene que andar con pies de plomo porque aquí muy probablemente la política de bloqueo no sirva puesto que muchos querrán montar sus propios servidores, aunque no siempre sepan lo que tienen entre manos.

Estos casos son muy complejos de gestionar. A veces con bloquear el puerto 53 desde un rango de red es suficiente ya que los ataque suelen venir desde Tailandia, China, Rusia o India, pero a veces no es así. Otras veces con reglas de descarte de peticiones recursivas, también sirve, pero hay que analizar muy bien dónde aplicarlas.

Y en casos extremos habría que bloquear el acceso y comunicárselo al usuario porque a todos los efectos, el que está realizando un ataque de denegación de servicio es el propio usuario, aunque no lo sepa [2]…

ignorantia legis neminem excusat

… y puede que lo mejor sea ayudar al usuario a configurar adecuadamente su servidor [3].

 

Nota: Un bug en el NTP [4], que en realidad no era un bug, sino una característica (monitor list) notificada desde 2010 como vulnerable para ser usada en ataques DDoS, ha abierto la caja de los truenos, proporcionando otra herramienta de ataque amplificado.

nmap -sU -pU:123 -Pn -n –script=ntp-monlist <target>

La parte buena es que en las nuevas instalaciones de NTP dicha “característica” ha sido corregida (no como en el caso de los DNS que se trata de una mala configuración), por lo que con el tiempo los servidores vulnerables irán desapareciendo de escena paulatinamente, aunque para ello tendrán que pasar años. Mientras tanto, los ataques vía NTP se mantendrán en la cima, ya que hay aprovechar el momento…

 

Enlaces

[1] – http://www.bbc.co.uk/news/technology-21954636

[2] – http://doamainnotfound.blogspot.com.es/2014/02/movistar-esta-bloqueando-el-trafico-de.html

[3] – http://www.us-cert.gov/ncas/alerts/TA13-088A

[4] – http://bugs.ntp.org/show_bug.cgi?id=1532

Deja un comentario