Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
octubre
(Total:
57
)
- Asociación Nacional del Rifle de Estados Unidos ví...
- Desarrollador del malware TrickBot extraditado a E...
- Operación fallida para detener a los reyes del ran...
- L0phtCrack, la herramienta de auditoría y recupera...
- Presentada la nueva Raspberry Pi Zero 2 W que prom...
- Intel presenta los nuevos chips 12ª generación Ald...
- La Agencia de Medicamentos España retira mandos a ...
- Manual y chuleta de comandos con Nmap
- En Armenia el 53% ordenadores usan todavía Windows...
- Xiaomi fabricará coches en masa en 2024
- Elige la mejor tarjeta SD según tus necesidades: v...
- Mozilla bloquea complementos maliciosos instalados...
- Gobierno Coreano entregó datos faciales de sus ciu...
- Rendimiento de los nuevos Apple M1 Pro y M1 Max
- Convierten el clásico reloj Casio F-91W de los 80 ...
- Facebook denuncia al ucraniano que robó la informa...
- Funciones y trucos del nuevo Android 12
- Bluetooth emite una huella única que es rastreable
- El ataque ransomware a la UAB habría afectado hast...
- La Raspberry Pi subirá de precio por primera vez p...
- Google advierte secuestro de cuentas de YouTubers ...
- Por privacidad, Brave integra búsquedas en el nave...
- Actualización de Windows 11 para devolver el rendi...
- Protocolos que favorecen amplificación ataques de ...
- MSI dice que la memoria DDR5 será hasta un 60% más...
- Estafa 290.000 dólares a Amazon devolviendo pedido...
- Demandan a Canon por desactivar el escáner cuando ...
- PinePhone Pro, un móvil construido por y para aman...
- Google presenta sus nuevos teléfonos Pixel 6 y Pix...
- Apple pone a la venta un paño de limpieza por 25€
- El PP en España propone acabar con el anonimato en...
- Microsoft muestra los beneficios de seguridad en W...
- WhatsApp empieza a cifrar sus copias de seguridad ...
- Ladrones clonan la voz del director de una empresa...
- Firefox ahora envía lo que escribes en la barra de...
- Android espía a los usuarios incluso cuando se des...
- Según Apple, Android tiene hasta 47 veces más malw...
- AMD Radeon RX 6600: similar a una GeForce RTX 3060...
- Importantes actualizaciones de seguridad para prod...
- FontOnLake: nuevo malware dirigido a Linux con cap...
- OnionFruit permite enrutar todo el tráfico a travé...
- Juegos gratis ocultos de Google
- Windows 11 permite usar Wifi 2 bandas diferentes (...
- Google habilitará automáticamente 2FA para 150 mil...
- DuckDuckGo y Ecosia piden a la UE que prohíba a Go...
- Actualizar o no a Windows 11 y formas de instalarlo
- Megadron autónomo de la Policía Nacional Española:...
- Graves errores de seguridad obligan a suspender la...
- Hackean Twitch y filtran en un torrent 125GB datos...
- Grave vulnerabilidad servidor web Apache HTTP 2.4.49
- Crean señales Wifi dentro de un cable ethernet par...
- ¿Por qué cayeron Facebook, WhatsApp e Instagram má...
- Herramientas gratis y portables de NirSoft para co...
- Vulnerabilidades en la pantalla de bloqueo de iPho...
- Los nuevos cables USB-C tendrán un nuevo logotipo ...
- Intel venderá CPUs Xeon con características bloque...
- Troyano GriftHorse para Android infecta 10 millone...
- ► septiembre (Total: 56 )
-
▼
octubre
(Total:
57
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Protocolos que favorecen amplificación ataques de DrDoS
El CSIRT de LACNIC presentó durante La Hora de la Tecnología en LACNIC 36 LACNOG 2021 un estudio sobre protocolos que posibilitan ataques de DDoS en los países de América Latina y el Caribe. La iniciativa buscó mejorar los niveles de seguridad de los sistemas que utilizan recursos IP de la región administrados por LACNIC, para colaborar con la estabilidad y resiliencia de Internet minimizando el posible uso de estos en ataques DrDoS.
DrDoS (Distributed Reflection/Reflective Denial of Service)
Guillermo Pereyra, analista de seguridad de LACNIC, afirmó en su presentación que los ataques en general, lo que intentan es vulnerar la disponibilidad de un sistema o dejarlo más lento. Por ejemplo, si una persona quiere entrar a una página web, los atacantes buscan que no esté disponible o esté más lenta de lo común, dificultando el acceso."Eso no es bueno para la seguridad de la información, de hecho, es lo que intentan hacer los atacantes", aseveró Pereyra.
Ataques sin control. Hay muchos vectores de ataques que se utilizan y entre ellos están los protocolos abiertos de Internet que amplifican la respuesta. “Supongamos -afirmó el analista de seguridad de LACNIC- que el atacante tiene control de varias máquinas, botnet, red de sistemas y cambia la IP de origen por la IP de la víctima. Cuándo se realiza la consulta al protocolo abierto éste amplifica la respuesta y la víctima se ve afectada”, señaló Pereyra.
El integrante del CSIRT de LACNIC presentó una lista de protocolos que el estudio encontró en la región y amplifican esos ataques.
Durante el desarrollo del proyecto se trató de mejorar los sistemas de seguridad y colaborar con la seguridad y resiliencia de Internet, en este caso en ataques de denegación de servicio.
El trabajo permitió identificar a los sistemas que exponen los protocolos abiertos en la región y luego alertar a las organizaciones afectadas mediante correos electrónicos con recomendaciones y también la realización de reuniones en conjunto para colaborar en la solución del problema.
Pereyra aseguró que LACNIC tiene experiencia en cerrar los protocolos abiertos y la idea de este proyecto siempre fue brindar ayuda a los operadores para corregir esas situaciones.
Según las estadísticas observadas en el estudio existe gran cantidad de protocolos abiertos concentrados en pocas organizaciones. De esa manera el proyecto eligió las organizaciones más afectadas, las contactó para corregir la situación.
Si los ataques que utilizan este protocolo tienen el suficiente potencial de causar graves daños ya que cualquier ataque DrDDoS con suficiente ancho de banda es complicado de mitigar.
Señaló que, a futuro, LACNIC hará público el
proyecto y organizará un webinar con los interesados para ayudarlos y buscar
soluciones en conjunto.
Ataques Reflected Denial of Service (DrDoS
UDP Reflection
Protocolo | Multiplicador |
DNS | 28 a 54 |
NTP | 556.9 |
SNMPv2 | 6.3 |
NetBIOS | 3.8 |
SSDP | 30.8 |
CharGEN | 358.8 |
QOTD | 140.3 |
BitTorrent | 3.8 |
Kad | 16.3 |
Quake Network Protocol | 63.9 |
Steam Protocol | 5.5 |
Multicast DNS (mDNS) | 2 a 10 |
RIPv1 | 131.24 |
Portmap (RPCbind) | 7 a 28 |
LDAP | 46 a 55 |
CLDAP | 56 a 70 |
TFTP | 60 |
Memcached | 10,000 a 51,000 |
CoAP | 10 a 50 |
WS-Discovery | 10 a 500 |
- DNS Reflection (port 53, udp) open DNS recursive Poder Amplificación del tráfico 18x/1000x
- CharGen (Character Generator Procotol) puerto 19. GetBulk request Poder Amplificación grande: 160x
- Echo (puerto 7)
- QOTD: (Quote of the Day) Muy similar a CharGen (puerto 17)
- NTP (Network Time Protocol) port 123 Poder Amplificación muy grande 1000x
- SNMP (Simple Network Management Protocol) port 161 Poder Amplificación 880x
- SSDP (Simple Service Discovery Protocol) Puerto 1900 udp SSDP Plug & Play (UPnP)
- LDAP/CLDAP: Puerto 389 UDP. Hasta 250.000 dispositivos vulnerables. Poder amplificación hasta 70x.
- Memcached Puerto UDP: 11211
- TFTP Puerto 69
- WS-Discovery (Web Services Dynamic Discovery (WS-Discovery)) SOAP UDP, puerto: 3702
- Constrained Application Protocol (CoAP), puerto 5683/UDP- Poder amplificación 27x
- NetBIOS (Network Basic Input/Output System) : puerto 137
- UBNT Ubiquiti Networks: puerto 10001 por UDP. Factor amplificación entre 30x o 35x veces
- PortMapper (RPCBind): puerto 111, tanto sobre UDP como sobre TCP. Poder amplificación entre 7x y 28x veces
Nombre | Puerto origen UDP | Descripción |
---|---|---|
DNS | 53 (o aleatorio) | Domain Name System |
CharGEN | 19 | Character Generator Procotol |
Echo | 7 | File search |
QOTD | 17 | Quote of the Day |
NTP | 123 | Networt Time Protocol |
SNMP | 161 | Simple Network Management Protocol |
SSDP | 1900 | Simple Service Discovery Protocol |
CLDAP | 389 | Connection-less LDAP |
Memcached | 11211 | Memcached |
CoAP | 5683 | Constrained Application Protocol |
WS-Discovery | 3702 | Web Services Dynamic Discovery |
Se calcula que hay más 1 millón de servidores NTP vulnerables (a fecha de Enero de 2014) -Reporte de http://openntpproject.org
Se calcula que hay más 30 millones de servidores DNS recursivos (open) vulnerables (a fecha de Octubre de 2013) -Reporte de http://openresolverproject.org
Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados
- DNS
- NTP
- SNMPv2
- NetBIOS
- SSDP
- CharGEN
- QOTD
- BitTorrent
- Kad
- Quake Network Protocol
- Steam Protocol
- RIPv1
- Multicast DNS (mDNS)
- Portmap/RPC
- LDAP
- Constrained Application Protocol (CoAP)
- Memcached
- WS-Discovery
Protocolo | Multiplicador |
DNS | 28 a 54 |
NTP | 556.9 |
SNMPv2 | 6.3 |
NetBIOS | 3.8 |
SSDP | 32 |
CharGEN | 358.8 |
QOTD | 140.3 |
BitTorrent | 3.8 |
Kad | 16.3 |
Quake Network Protocol | 63.9 |
Steam Protocol | 5.5 |
Multicast DNS (mDNS) | 2 a 10 |
RIPv1 | 131.24 |
Portmap (RPCbind) | 7 a 28 |
LDAP | 46 a 55 |
CLDAP | 56 a 70 |
TFTP | 60 |
Memcached | 200 |
CoAP | 10 a 50 |
WS-Discovery | 10 a 500 |
Fuentes:
https://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html
https://blog.elhacker.net/2015/04/detener-mitigacion-de-ataques-udp-reflection-drdos-drddos.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.