Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Protocolos que favorecen amplificación ataques de DrDoS


El CSIRT de LACNIC presentó durante La Hora de la Tecnología en LACNIC 36 LACNOG 2021 un estudio sobre protocolos que posibilitan ataques de DDoS en los países de América Latina y el Caribe. La iniciativa buscó mejorar los niveles de seguridad de los sistemas que utilizan recursos IP de la región administrados por LACNIC, para colaborar con la estabilidad y resiliencia de Internet minimizando el posible uso de estos en ataques DrDoS.

 


 

 

 DrDoS (Distributed Reflection/Reflective Denial of Service)

 Guillermo Pereyra, analista de seguridad de LACNIC, afirmó en su presentación que los ataques en general, lo que intentan es vulnerar la disponibilidad de un sistema o dejarlo más lento. Por ejemplo, si una persona quiere entrar a una página web, los atacantes buscan que no esté disponible o esté más lenta de lo común, dificultando el acceso."Eso no es bueno para la seguridad de la información, de hecho, es lo que intentan hacer los atacantes", aseveró Pereyra.


 

Ataques sin control. Hay muchos vectores de ataques que se utilizan y entre ellos están los protocolos abiertos de Internet que amplifican la respuesta. “Supongamos -afirmó el analista de seguridad de LACNIC- que el atacante tiene control de varias máquinas, botnet, red de sistemas y cambia la IP de origen por la IP de la víctima. Cuándo se realiza la consulta al protocolo abierto éste amplifica la respuesta y la víctima se ve afectada”, señaló Pereyra.

El integrante del CSIRT de LACNIC presentó una lista de protocolos que el estudio encontró en la región y amplifican esos ataques. 

Durante el desarrollo del proyecto se trató de mejorar los sistemas de seguridad y colaborar con la seguridad y resiliencia de Internet, en este caso en ataques de denegación de servicio.

El trabajo permitió identificar a los sistemas que exponen los protocolos abiertos en la región y luego alertar a las organizaciones afectadas mediante correos electrónicos con recomendaciones y también la realización de reuniones en conjunto para colaborar en la solución del problema.

Pereyra aseguró que LACNIC tiene experiencia en cerrar los protocolos abiertos y la idea de este proyecto siempre fue brindar ayuda a los operadores para corregir esas situaciones.

Según las estadísticas observadas en el estudio existe gran cantidad de protocolos abiertos concentrados en pocas organizaciones. De esa manera el proyecto eligió las organizaciones más afectadas, las contactó para corregir la situación. 

Si los ataques que utilizan este protocolo tienen el suficiente potencial de causar graves daños ya que cualquier ataque DrDDoS con suficiente ancho de banda es complicado de mitigar.

Señaló que, a futuro, LACNIC hará público el proyecto y organizará un webinar con los interesados para ayudarlos y buscar soluciones en conjunto.

Ataques Reflected Denial of Service (DrDoS

Amplificación: Ataques cada vez más comunes que se aprovechan del poder multiplicador, al poder amplificar el tráfico que pueden generar y enviar a la víctima.





UDP Reflection 

Protocolo Multiplicador
DNS 28 a 54
NTP 556.9
SNMPv2 6.3
NetBIOS 3.8
SSDP 30.8
CharGEN 358.8
QOTD 140.3
BitTorrent 3.8
Kad 16.3
Quake Network Protocol 63.9
Steam Protocol 5.5
Multicast DNS (mDNS) 2 a 10
RIPv1 131.24
Portmap (RPCbind) 7 a 28
LDAP 46 a 55
CLDAP 56 a 70
TFTP 60
Memcached 10,000 a 51,000
CoAP 10 a 50
WS-Discovery 10 a 500
  • DNS Reflection (port 53, udp) open DNS recursive Poder Amplificación del tráfico 18x/1000x
  • CharGen (Character Generator Procotol) puerto 19. GetBulk request Poder Amplificación grande: 160x
  • Echo (puerto 7)
  • QOTD: (Quote of the Day) Muy similar a CharGen (puerto 17)
  • NTP (Network Time Protocol) port 123 Poder Amplificación muy grande 1000x
  • SNMP (Simple Network Management Protocol) port 161 Poder Amplificación 880x
  • SSDP (Simple Service Discovery Protocol) Puerto 1900 udp SSDP Plug & Play (UPnP)
  • LDAP/CLDAP: Puerto 389 UDP. Hasta 250.000 dispositivos vulnerables. Poder amplificación hasta 70x.
  • Memcached  Puerto UDP: 11211
  • TFTP Puerto 69 
  • WS-Discovery (Web Services Dynamic Discovery (WS-Discovery))  SOAP UDP, puerto: 3702
  • Constrained Application Protocol (CoAP), puerto 5683/UDP- Poder amplificación 27x
  • NetBIOS (Network Basic Input/Output System) : puerto 137 
  • UBNT Ubiquiti Networks: puerto 10001 por UDP. Factor amplificación entre 30x o 35x veces 
  • PortMapper (RPCBind): puerto 111, tanto sobre UDP como sobre TCP. Poder amplificación  entre 7x y 28x veces

NombrePuerto origen UDPDescripción
DNS53 (o aleatorio)Domain Name System
CharGEN19Character Generator Procotol
Echo7File search
QOTD17Quote of the Day
NTP123Networt Time Protocol
SNMP161Simple Network Management Protocol
SSDP1900Simple Service Discovery Protocol
CLDAP389Connection-less LDAP
Memcached11211Memcached
CoAP5683Constrained Application Protocol
WS-Discovery3702Web Services Dynamic Discovery

Se calcula que hay más 1 millón de servidores NTP vulnerables (a fecha de Enero de 2014) -Reporte de http://openntpproject.org

Se calcula que hay más 30 millones de servidores DNS recursivos (open) vulnerables (a fecha de Octubre de 2013) -Reporte de http://openresolverproject.org
 

 Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados

  • DNS
  • NTP
  • SNMPv2
  • NetBIOS
  • SSDP
  • CharGEN
  • QOTD
  • BitTorrent
  • Kad
  • Quake Network Protocol
  • Steam Protocol
  • RIPv1
  • Multicast DNS (mDNS)
  • Portmap/RPC
  • LDAP
  • Constrained Application Protocol (CoAP)
  • Memcached
  • WS-Discovery


Protocolo Multiplicador
DNS 28 a 54
NTP 556.9
SNMPv2 6.3
NetBIOS 3.8
SSDP 32
CharGEN 358.8
QOTD 140.3
BitTorrent 3.8
Kad 16.3
Quake Network Protocol 63.9
Steam Protocol 5.5
Multicast DNS (mDNS) 2 a 10
RIPv1 131.24
Portmap (RPCbind) 7 a 28
LDAP 46 a 55
CLDAP 56 a 70
TFTP 60
Memcached 200
CoAP 10 a 50
WS-Discovery 10 a 500

Fuentes:

 Prensa LACNIC

https://blog.elhacker.net/2021/09/ataques-denegacion-servicio-ddos-capa7-drddos-udp-capa3-4-herramientas.html

https://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html

https://blog.elhacker.net/2015/04/detener-mitigacion-de-ataques-udp-reflection-drdos-drddos.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.