Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
marzo
(Total:
13
)
- Club italiano Lazio cae en una estafa por correo e...
- App ChatWatch espía tus horas de conexión en WhatsApp
- Presentadas especificaciones del códec de vídeo AV...
- Boeing infectada por el ransomware WannaCry
- Facebook registraba tu historial de llamadas telef...
- Detenido en Alicante ciberdelincuente por robar má...
- AMD confirma las "vulnerabilidades" de Zen
- Seagate presenta el disco duro SATA más rápido del...
- Una app no oficial para hacer la declaración de la...
- El fraude de los cartuchos de tinta: una máquina d...
- Telegram podría ser bloqueada en Rusia si no entre...
- Filtración masiva de datos personales en Facebook ...
- Nuevo record ataque DDoS: 1.7 Tbps utilizando DrDDoS
-
▼
marzo
(Total:
13
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Nuevo record ataque DDoS: 1.7 Tbps utilizando DrDDoS
miércoles, 21 de marzo de 2018
|
Publicado por
el-brujo
|
Editar entrada
El 28 de febrero de 2018, GitHub recibió el mayor ataque de denegación de servicio hasta la fecha y logró resolverlo en 8 minutos. Después del ataque de DDoS récord de 1.35 Tbps a Github, se esperaban más ataques amplificados y, solo cuatro días después, alguien acaba de establecer un nuevo récord de 1.7 Tbps. Investigadores de Cloudflare, Arbor Networks y Qihoo 360
afirman que registraron un ataque de reflexión/amplificación de 1.7
Tbps contra uno de los sitios web de sus clientes en EE.UU. Similar al
ataque DDoS de la semana pasada en GitHub, el ancho de este ataque fue amplificado por un factor de 51.000, utilizando miles de servidores Memcached mal configurados expuestos en Internet.
Como vemos en la imagen, el pico de tráfico de este ataque llegó a los 1,35Tbps enviados a través de 126,9 millones de paquetes por segundo.
A diferencia del resto de ataques DDoS que solemos ver, este no utilizó ninguna botnet para realizarse, sino que hizo uso de los servidores memcached para aumentar la fuerza del ataque original.
Los servidores memcached son utilizados para el almacenamiento en caché de datos u objetos en la memoria RAM, reduciendo así la necesidad de acceso a un origen de datos externo, y con ello aumentando la velocidad de trabajo usual.
Estos servidores no están preparados para estar expuestos en línea. Según la empresa WIRED, hay alrededor de 100.000 servidores memcached accesibles en internet los cuáles no requieren de autenticación. Cualquier atacante puede acceder a ellos, enviar un paquete y el servidor responderá con una respuesta mucho mayor.
Una de las maneras más sencillas de mitigar el abuso de estos servidores es mediante firewall, limitando la velocidad de los paquetes UDP de salida.
La empresa encargada de mitigar el ataque a GitHub fue Akamai Prolexic. Prolexic se hizo cargo como intermediario enrutando todo el tráfico que entraba y salía de GitHub, y enviaba los datos a través de sus centros de depuración para eliminar y bloquear los paquetes maliciosos. A los 8 minutos los atacantes cedieron y pararon el DDoS.
A pesar de no haber habido un gran destrozo, este ataque muestra los peligros que implican los servidores memcached expuestos. Esperemos que los dueños de este tipo de servidores tomen conciencia y apliquen las medidas necesarias para que no vuelva a ocurrir.
El ancho de banda de este ataque fue amplificado por un factor de 51.000, utilizando miles de servidores Memcached mal configurados expuestos en Internet.
En un ataque DDoS de amplificación se envía una solicitud al servidor Memcached en el puerto 11211 usando una dirección IP falsificada, que coincide la IP de la víctima. Unos pocos bytes enviados desde la solicitud al servidor vulnerable pueden desencadenar una respuesta decenas de miles de veces más grande contra la dirección IP seleccionada, lo que da como resultado un poderoso ataque DDoS.
Mientras tanto, los investigadores también notaron que los ciberdelincuentes han comenzado a militarizar los ataques DDoS a través de servidores de Memcached vulnerables para extorsionar a las víctimas.
Tras el ataque DDoS de 1.3 Tbps de la semana pasada contra GitHub, Akamai dijo que sus clientes habían recibido mensajes de extorsión, pidiéndoles 50 XMR (Monero), valoradas en $15.000 a la cotización actual.
Un ataque ‘DDos Reflection’ es un ataque de denegación de servicio por amplificación, que se produce cuando haciendo peticiones hacia un objetivo, éste es capaz de multiplicar el número de peticiones hacia el objetivo final.
Memcached es un sistema distribuido para caché de código abierto utilizado principalmente para mejorar la escalabilidad de las aplicaciones web. Memcached almacena pequeños datos mediante una funcionalidad de clave-valor. Los atacantes hacen uso de la funcionalidad clave-valor para crear un gran flujo con el que llevan a cabo el ataque.
"La gran cantidad de servidores que ejecutan memcached hará de esta una vulnerabilidad sea duradera y que los atacantes la sigan explotando", dijo Arbor Networks en una publicación de blog.
Para evitar que se abuse de los servidores de Memcached, se debería proporcionar acceso a los servidores de Memcached solo desde la red local. Los administradores también deben considerar evitar el tráfico externo a los puertos utilizados por Memcached (por ejemplo, el puerto 11211 utilizado por defecto), bloquear o limitar la velocidad UDP o deshabilitar completamente el soporte UDP si no se usa.
Fuentes:
https://blog.segu-info.com.ar/2018/03/17-tbps-en-un-nuevo-record-de-ddos.html
http://unaaldia.hispasec.com/2018/03/drdos-deja-de-ser-el-sistema-compatible.html
http://unaaldia.hispasec.com/2018/03/el-mayor-ataque-ddos-de-la-historia.html
https://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html
Como vemos en la imagen, el pico de tráfico de este ataque llegó a los 1,35Tbps enviados a través de 126,9 millones de paquetes por segundo.
A diferencia del resto de ataques DDoS que solemos ver, este no utilizó ninguna botnet para realizarse, sino que hizo uso de los servidores memcached para aumentar la fuerza del ataque original.
Los servidores memcached son utilizados para el almacenamiento en caché de datos u objetos en la memoria RAM, reduciendo así la necesidad de acceso a un origen de datos externo, y con ello aumentando la velocidad de trabajo usual.
Estos servidores no están preparados para estar expuestos en línea. Según la empresa WIRED, hay alrededor de 100.000 servidores memcached accesibles en internet los cuáles no requieren de autenticación. Cualquier atacante puede acceder a ellos, enviar un paquete y el servidor responderá con una respuesta mucho mayor.
Una de las maneras más sencillas de mitigar el abuso de estos servidores es mediante firewall, limitando la velocidad de los paquetes UDP de salida.
La empresa encargada de mitigar el ataque a GitHub fue Akamai Prolexic. Prolexic se hizo cargo como intermediario enrutando todo el tráfico que entraba y salía de GitHub, y enviaba los datos a través de sus centros de depuración para eliminar y bloquear los paquetes maliciosos. A los 8 minutos los atacantes cedieron y pararon el DDoS.
A pesar de no haber habido un gran destrozo, este ataque muestra los peligros que implican los servidores memcached expuestos. Esperemos que los dueños de este tipo de servidores tomen conciencia y apliquen las medidas necesarias para que no vuelva a ocurrir.
El ancho de banda de este ataque fue amplificado por un factor de 51.000, utilizando miles de servidores Memcached mal configurados expuestos en Internet.
En un ataque DDoS de amplificación se envía una solicitud al servidor Memcached en el puerto 11211 usando una dirección IP falsificada, que coincide la IP de la víctima. Unos pocos bytes enviados desde la solicitud al servidor vulnerable pueden desencadenar una respuesta decenas de miles de veces más grande contra la dirección IP seleccionada, lo que da como resultado un poderoso ataque DDoS.
Mientras tanto, los investigadores también notaron que los ciberdelincuentes han comenzado a militarizar los ataques DDoS a través de servidores de Memcached vulnerables para extorsionar a las víctimas.
Tras el ataque DDoS de 1.3 Tbps de la semana pasada contra GitHub, Akamai dijo que sus clientes habían recibido mensajes de extorsión, pidiéndoles 50 XMR (Monero), valoradas en $15.000 a la cotización actual.
Un ataque ‘DDos Reflection’ es un ataque de denegación de servicio por amplificación, que se produce cuando haciendo peticiones hacia un objetivo, éste es capaz de multiplicar el número de peticiones hacia el objetivo final.
Memcached es un sistema distribuido para caché de código abierto utilizado principalmente para mejorar la escalabilidad de las aplicaciones web. Memcached almacena pequeños datos mediante una funcionalidad de clave-valor. Los atacantes hacen uso de la funcionalidad clave-valor para crear un gran flujo con el que llevan a cabo el ataque.
El ataque se lleva a cabo en primer lugar mediante la obtención de servidores expuestos en internet, para ello los atacantes hacen uso de herramientas como Shodan. Una vez se obtiene el listado de IPs, se modifica la configuración clave-valor con el fin de lograr la mayor cantidad de almacenamiento posible, permitiendo mediante la falsificación de la IP de destino en la solicitud, que el sistema memcached responda a la IP falsificada, aumentando el diferencial del que hemos hablado anteriormente.
Históricamente, este tipo de ataques lo hemos podido observar en sistemas DNS, NTP y sistemas SSDP entre otros muchos, por lo que no es nada nuevo. La novedad se encuentra en el multiplicador que se ha llegado a conseguir superando con bastante claridad al resto de ataques DrDOS registrados.
UDP Reflection
Históricamente, este tipo de ataques lo hemos podido observar en sistemas DNS, NTP y sistemas SSDP entre otros muchos, por lo que no es nada nuevo. La novedad se encuentra en el multiplicador que se ha llegado a conseguir superando con bastante claridad al resto de ataques DrDOS registrados.
UDP Reflection
Protocolo
|
Multiplicador
|
DNS
|
28 a 54
|
NTP
|
556.9
|
SNMPv2
|
6.3
|
NetBIOS
|
3.8
|
SSDP
|
30.8
|
CharGEN
|
358.8
|
QOTD
|
140.3
|
BitTorrent
|
3.8
|
Kad
|
16.3
|
Quake Network Protocol
|
63.9
|
Steam Protocol
|
5.5
|
Multicast DNS (mDNS)
|
2 a 10
|
RIPv1
|
131.24
|
Portmap (RPCbind)
|
7 a 28
|
LDAP
|
46 a 55
|
CLDAP
|
56 a 70
|
TFTP
|
60
|
Memcache
|
10,000 a 51,000
|
"La gran cantidad de servidores que ejecutan memcached hará de esta una vulnerabilidad sea duradera y que los atacantes la sigan explotando", dijo Arbor Networks en una publicación de blog.
Para evitar que se abuse de los servidores de Memcached, se debería proporcionar acceso a los servidores de Memcached solo desde la red local. Los administradores también deben considerar evitar el tráfico externo a los puertos utilizados por Memcached (por ejemplo, el puerto 11211 utilizado por defecto), bloquear o limitar la velocidad UDP o deshabilitar completamente el soporte UDP si no se usa.
https://blog.segu-info.com.ar/2018/03/17-tbps-en-un-nuevo-record-de-ddos.html
http://unaaldia.hispasec.com/2018/03/drdos-deja-de-ser-el-sistema-compatible.html
http://unaaldia.hispasec.com/2018/03/el-mayor-ataque-ddos-de-la-historia.html
https://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.