El CSIRT de LACNIC presentó durante La Hora de la Tecnología en LACNIC 36 LACNOG 2021 un estudio sobre protocolos que posibilitan ataques de DDoS en los países de América Latina y el Caribe. La iniciativa buscó mejorar los niveles de seguridad de los sistemas que utilizan recursos IP de la región administrados por LACNIC, para colaborar con la estabilidad y resiliencia de Internet minimizando el posible uso de estos en ataques DrDoS.

 DrDoS (Distributed Reflection/Reflective Denial of Service)

 Guillermo Pereyra, analista de seguridad de LACNIC, afirmó en su presentación que los ataques en general, lo que intentan es vulnerar la disponibilidad de un sistema o dejarlo más lento. Por ejemplo, si una persona quiere entrar a una página web, los atacantes buscan que no esté disponible o esté más lenta de lo común, dificultando el acceso."Eso no es bueno para la seguridad de la información, de hecho, es lo que intentan hacer los atacantes", aseveró Pereyra.

Ataques sin control. Hay muchos vectores de ataques que se utilizan y entre ellos están los protocolos abiertos de Internet que amplifican la respuesta. “Supongamos -afirmó el analista de seguridad de LACNIC- que el atacante tiene control de varias máquinas, botnet, red de sistemas y cambia la IP de origen por la IP de la víctima. Cuándo se realiza la consulta al protocolo abierto éste amplifica la respuesta y la víctima se ve afectada”, señaló Pereyra.

El integrante del CSIRT de LACNIC presentó una lista de protocolos que el estudio encontró en la región y amplifican esos ataques. 

Durante el desarrollo del proyecto se trató de mejorar los sistemas de seguridad y colaborar con la seguridad y resiliencia de Internet, en este caso en ataques de denegación de servicio.

El trabajo permitió identificar a los sistemas que exponen los protocolos abiertos en la región y luego alertar a las organizaciones afectadas mediante correos electrónicos con recomendaciones y también la realización de reuniones en conjunto para colaborar en la solución del problema.

Pereyra aseguró que LACNIC tiene experiencia en cerrar los protocolos abiertos y la idea de este proyecto siempre fue brindar ayuda a los operadores para corregir esas situaciones.

Según las estadísticas observadas en el estudio existe gran cantidad de protocolos abiertos concentrados en pocas organizaciones. De esa manera el proyecto eligió las organizaciones más afectadas, las contactó para corregir la situación. 

Si los ataques que utilizan este protocolo tienen el suficiente potencial de causar graves daños ya que cualquier ataque DrDDoS con suficiente ancho de banda es complicado de mitigar.

Señaló que, a futuro, LACNIC hará público el proyecto y organizará un webinar con los interesados para ayudarlos y buscar soluciones en conjunto.

Ataques Reflected Denial of Service (DrDoS

Amplificación: Ataques cada vez más comunes que se aprovechan del poder multiplicador, al poder amplificar el tráfico que pueden generar y enviar a la víctima.

UDP Reflection 

Protocolo	Multiplicador
DNS	28 a 54
NTP	556.9
SNMPv2	6.3
NetBIOS	3.8
SSDP	30.8
CharGEN	358.8
QOTD	140.3
BitTorrent	3.8
Kad	16.3
Quake Network Protocol	63.9
Steam Protocol	5.5
Multicast DNS (mDNS)	2 a 10
RIPv1	131.24
Portmap (RPCbind)	7 a 28
LDAP	46 a 55
CLDAP	56 a 70
TFTP	60
Memcached	10,000 a 51,000
CoAP	10 a 50
WS-Discovery	10 a 500

• DNS Reflection (port 53, udp) open DNS recursive Poder Amplificación del tráfico 18x/1000x
• CharGen (Character Generator Procotol) puerto 19. GetBulk request Poder Amplificación grande: 160x
• Echo (puerto 7)
• QOTD: (Quote of the Day) Muy similar a CharGen (puerto 17)
• NTP (Network Time Protocol) port 123 Poder Amplificación muy grande 1000x
• SNMP (Simple Network Management Protocol) port 161 Poder Amplificación 880x
• SSDP (Simple Service Discovery Protocol) Puerto 1900 udp SSDP Plug & Play (UPnP)
• LDAP/CLDAP: Puerto 389 UDP. Hasta 250.000 dispositivos vulnerables. Poder amplificación hasta 70x.
• Memcached  Puerto UDP: 11211
• TFTP Puerto 69 
• WS-Discovery (Web Services Dynamic Discovery (WS-Discovery))  SOAP UDP, puerto: 3702
• Constrained Application Protocol (CoAP), puerto 5683/UDP- Poder amplificación 27x
• NetBIOS (Network Basic Input/Output System) : puerto 137 
• UBNT Ubiquiti Networks: puerto 10001 por UDP. Factor amplificación entre 30x o 35x veces 
• PortMapper (RPCBind): puerto 111, tanto sobre UDP como sobre TCP. Poder amplificación  entre 7x y 28x veces
  

Nombre	Puerto origen UDP	Descripción
DNS	53 (o aleatorio)	Domain Name System
CharGEN	19	Character Generator Procotol
Echo	7	File search
QOTD	17	Quote of the Day
NTP	123	Networt Time Protocol
SNMP	161	Simple Network Management Protocol
SSDP	1900	Simple Service Discovery Protocol
CLDAP	389	Connection-less LDAP
Memcached	11211	Memcached
CoAP	5683	Constrained Application Protocol
WS-Discovery	3702	Web Services Dynamic Discovery

Se calcula que hay más 1 millón de servidores NTP vulnerables (a fecha de Enero de 2014) -Reporte de http://openntpproject.org

Se calcula que hay más 30 millones de servidores DNS recursivos (open) vulnerables (a fecha de Octubre de 2013) -Reporte de http://openresolverproject.org

 Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados

• DNS
• NTP
• SNMPv2
• NetBIOS
• SSDP
• CharGEN
• QOTD
• BitTorrent
• Kad
• Quake Network Protocol
• Steam Protocol
• RIPv1
• Multicast DNS (mDNS)
• Portmap/RPC
• LDAP
• Constrained Application Protocol (CoAP)
• Memcached
• WS-Discovery

Fuentes:

 Prensa LACNIC

https://blog.elhacker.net/2021/09/ataques-denegacion-servicio-ddos-capa7-drddos-udp-capa3-4-herramientas.html

https://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html

https://blog.elhacker.net/2015/04/detener-mitigacion-de-ataques-udp-reflection-drdos-drddos.html