Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Nuevo record ataque DDoS: 1.7 Tbps utilizando DrDDoS




El 28 de febrero de 2018, GitHub recibió el mayor ataque de denegación de servicio hasta la fecha y logró resolverlo en 8 minutos. Después del ataque de DDoS récord de 1.35 Tbps a Github, se esperaban más ataques amplificados y, solo cuatro días después, alguien acaba de establecer un nuevo récord de 1.7 Tbps. Investigadores de  afirman que registraron un ataque de reflexión/amplificación de 1.7 Tbps contra uno de los sitios web de sus clientes en EE.UU. Similar al ataque DDoS de la semana pasada en GitHub, el ancho de este ataque fue amplificado por un factor de 51.000, utilizando miles de servidores Memcached mal configurados expuestos en Internet.






Como vemos en la imagen, el pico de tráfico de este ataque llegó a los 1,35Tbps enviados a través de 126,9 millones de paquetes por segundo.

A diferencia del resto de ataques DDoS que solemos ver, este no utilizó ninguna botnet para realizarse, sino que hizo uso de los servidores memcached para aumentar la fuerza del ataque original.




Los servidores memcached son utilizados para el almacenamiento en caché de datos u objetos en la memoria RAM, reduciendo así la necesidad de acceso a un origen de datos externo, y con ello aumentando la velocidad de trabajo usual.

Estos servidores no están preparados para estar expuestos en línea. Según la empresa WIRED, hay alrededor de 100.000 servidores memcached accesibles en internet los cuáles no requieren de autenticación. Cualquier atacante puede acceder a ellos, enviar un paquete y el servidor responderá con una respuesta mucho mayor.

Una de las maneras más sencillas de mitigar el abuso de estos servidores es mediante firewall, limitando la velocidad de los paquetes UDP de salida.

La empresa encargada de mitigar el ataque a GitHub fue Akamai Prolexic. Prolexic se hizo cargo como intermediario enrutando todo el tráfico que entraba y salía de GitHub, y enviaba los datos a través de sus centros de depuración para eliminar y bloquear los paquetes maliciosos. A los 8 minutos los atacantes cedieron y pararon el DDoS.

A pesar de no haber habido un gran destrozo, este ataque muestra los peligros que implican los servidores memcached expuestos. Esperemos que los dueños de este tipo de servidores tomen conciencia y apliquen las medidas necesarias para que no vuelva a ocurrir.

El ancho de banda de este ataque fue amplificado por un factor de 51.000, utilizando miles de servidores Memcached mal configurados expuestos en Internet.



En un ataque DDoS de amplificación se envía una solicitud al servidor Memcached en el puerto 11211 usando una dirección IP falsificada, que coincide la IP de la víctima. Unos pocos bytes enviados desde la solicitud al servidor vulnerable pueden desencadenar una respuesta decenas de miles de veces más grande contra la dirección IP seleccionada, lo que da como resultado un poderoso ataque DDoS.

Mientras tanto, los investigadores también notaron que los ciberdelincuentes han comenzado a militarizar los ataques DDoS a través de servidores de Memcached vulnerables para extorsionar a las víctimas.

Tras el ataque DDoS de 1.3 Tbps de la semana pasada contra GitHub, Akamai dijo que sus clientes habían recibido mensajes de extorsión, pidiéndoles 50 XMR (Monero), valoradas en $15.000 a la cotización actual.



Un ataque ‘DDos Reflection’ es un ataque de denegación de servicio por amplificación, que se produce cuando haciendo peticiones hacia un objetivo, éste es capaz de multiplicar el número de peticiones hacia el objetivo final.

Memcached es un sistema distribuido para caché de código abierto utilizado principalmente para mejorar la escalabilidad de las aplicaciones web. Memcached almacena pequeños datos mediante una funcionalidad de clave-valor. Los atacantes hacen uso de la funcionalidad clave-valor para crear un gran flujo con el que llevan a cabo el ataque.

El ataque se lleva a cabo en primer lugar mediante la obtención de servidores expuestos en internet, para ello los atacantes hacen uso de herramientas como Shodan. Una vez se obtiene el listado de IPs, se modifica la configuración clave-valor con el fin de lograr la mayor cantidad de almacenamiento posible, permitiendo mediante la falsificación de la IP de destino en la solicitud, que el sistema memcached responda a la IP falsificada, aumentando el diferencial del que hemos hablado anteriormente.

Históricamente, este tipo de ataques lo hemos podido observar en sistemas DNS, NTP y sistemas SSDP entre otros muchos, por lo que no es nada nuevo. La novedad se encuentra en el multiplicador que se ha llegado a conseguir superando con bastante claridad al resto de ataques DrDOS registrados.

UDP Reflection 

Protocolo
Multiplicador
DNS
28 a 54
NTP
556.9
SNMPv2
6.3
NetBIOS
3.8
SSDP
30.8
CharGEN
358.8
QOTD
140.3
BitTorrent
3.8
Kad
16.3
Quake Network Protocol
63.9
Steam Protocol
5.5
Multicast DNS (mDNS)
2 a 10
RIPv1
131.24
Portmap (RPCbind)
7 a 28
LDAP
46 a 55
CLDAP
56 a 70
TFTP
60
Memcache
10,000 a 51,000

"La gran cantidad de servidores que ejecutan memcached hará de esta una vulnerabilidad sea duradera y que los atacantes la sigan explotando", dijo Arbor Networks en una publicación de blog.




Para evitar que se abuse de los servidores de Memcached, se debería proporcionar acceso a los servidores de Memcached solo desde la red local. Los administradores también deben considerar evitar el tráfico externo a los puertos utilizados por Memcached (por ejemplo, el puerto 11211 utilizado por defecto), bloquear o limitar la velocidad UDP o deshabilitar completamente el soporte UDP si no se usa.

Fuentes:
https://blog.segu-info.com.ar/2018/03/17-tbps-en-un-nuevo-record-de-ddos.html
http://unaaldia.hispasec.com/2018/03/drdos-deja-de-ser-el-sistema-compatible.html
http://unaaldia.hispasec.com/2018/03/el-mayor-ataque-ddos-de-la-historia.html
http://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html 

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.