El CSIRT de LACNIC presentó durante La Hora de la Tecnología en LACNIC 36 LACNOG 2021 un estudio sobre protocolos que posibilitan ataques de DDoS en los países de América Latina y el Caribe. La iniciativa buscó mejorar los niveles de seguridad de los sistemas que utilizan recursos IP de la región administrados por LACNIC, para colaborar con la estabilidad y resiliencia de Internet minimizando el posible uso de estos en ataques DrDoS.
DrDoS (Distributed Reflection/Reflective Denial of Service)
Guillermo Pereyra, analista de seguridad de LACNIC, afirmó en su presentación que los ataques en general, lo que intentan es vulnerar la disponibilidad de un sistema o dejarlo más lento. Por ejemplo, si una persona quiere entrar a una página web, los atacantes buscan que no esté disponible o esté más lenta de lo común, dificultando el acceso."Eso no es bueno para la seguridad de la información, de hecho, es lo que intentan hacer los atacantes", aseveró Pereyra.
Ataques sin control. Hay muchos vectores de ataques que se utilizan y entre ellos están los protocolos abiertos de Internet que amplifican la respuesta. “Supongamos -afirmó el analista de seguridad de LACNIC- que el atacante tiene control de varias máquinas, botnet, red de sistemas y cambia la IP de origen por la IP de la víctima. Cuándo se realiza la consulta al protocolo abierto éste amplifica la respuesta y la víctima se ve afectada”, señaló Pereyra.
El integrante del CSIRT de LACNIC presentó una lista de protocolos que el estudio encontró en la región y amplifican esos ataques.
Durante el desarrollo del proyecto se trató de mejorar los sistemas de seguridad y colaborar con la seguridad y resiliencia de Internet, en este caso en ataques de denegación de servicio.
El trabajo permitió identificar a los sistemas que exponen los protocolos abiertos en la región y luego alertar a las organizaciones afectadas mediante correos electrónicos con recomendaciones y también la realización de reuniones en conjunto para colaborar en la solución del problema.
Pereyra aseguró que LACNIC tiene experiencia en cerrar los protocolos abiertos y la idea de este proyecto siempre fue brindar ayuda a los operadores para corregir esas situaciones.
Según las estadísticas observadas en el estudio existe gran cantidad de protocolos abiertos concentrados en pocas organizaciones. De esa manera el proyecto eligió las organizaciones más afectadas, las contactó para corregir la situación.
Si los ataques que utilizan este protocolo tienen el suficiente potencial de causar graves daños ya que cualquier ataque DrDDoS con suficiente ancho de banda es complicado de mitigar.
Señaló que, a futuro, LACNIC hará público el
proyecto y organizará un webinar con los interesados para ayudarlos y buscar
soluciones en conjunto.
Ataques Reflected Denial of Service (DrDoS
UDP Reflection
| Protocolo | Multiplicador |
| DNS | 28 a 54 |
| NTP | 556.9 |
| SNMPv2 | 6.3 |
| NetBIOS | 3.8 |
| SSDP | 30.8 |
| CharGEN | 358.8 |
| QOTD | 140.3 |
| BitTorrent | 3.8 |
| Kad | 16.3 |
| Quake Network Protocol | 63.9 |
| Steam Protocol | 5.5 |
| Multicast DNS (mDNS) | 2 a 10 |
| RIPv1 | 131.24 |
| Portmap (RPCbind) | 7 a 28 |
| LDAP | 46 a 55 |
| CLDAP | 56 a 70 |
| TFTP | 60 |
| Memcached | 10,000 a 51,000 |
| CoAP | 10 a 50 |
| WS-Discovery | 10 a 500 |
- DNS Reflection (port 53, udp) open DNS recursive Poder Amplificación del tráfico 18x/1000x
- CharGen (Character Generator Procotol) puerto 19. GetBulk request Poder Amplificación grande: 160x
- Echo (puerto 7)
- QOTD: (Quote of the Day) Muy similar a CharGen (puerto 17)
- NTP (Network Time Protocol) port 123 Poder Amplificación muy grande 1000x
- SNMP (Simple Network Management Protocol) port 161 Poder Amplificación 880x
- SSDP (Simple Service Discovery Protocol) Puerto 1900 udp SSDP Plug & Play (UPnP)
- LDAP/CLDAP: Puerto 389 UDP. Hasta 250.000 dispositivos vulnerables. Poder amplificación hasta 70x.
- Memcached Puerto UDP: 11211
- TFTP Puerto 69
- WS-Discovery (Web Services Dynamic Discovery (WS-Discovery)) SOAP UDP, puerto: 3702
- Constrained Application Protocol (CoAP), puerto 5683/UDP- Poder amplificación 27x
- NetBIOS (Network Basic Input/Output System) : puerto 137
- UBNT Ubiquiti Networks: puerto 10001 por UDP. Factor amplificación entre 30x o 35x veces
- PortMapper (RPCBind): puerto 111, tanto sobre UDP como sobre TCP. Poder amplificación entre 7x y 28x veces
| Nombre | Puerto origen UDP | Descripción |
|---|---|---|
| DNS | 53 (o aleatorio) | Domain Name System |
| CharGEN | 19 | Character Generator Procotol |
| Echo | 7 | File search |
| QOTD | 17 | Quote of the Day |
| NTP | 123 | Networt Time Protocol |
| SNMP | 161 | Simple Network Management Protocol |
| SSDP | 1900 | Simple Service Discovery Protocol |
| CLDAP | 389 | Connection-less LDAP |
| Memcached | 11211 | Memcached |
| CoAP | 5683 | Constrained Application Protocol |
| WS-Discovery | 3702 | Web Services Dynamic Discovery |
Se calcula que hay más 1 millón de servidores NTP vulnerables (a fecha de Enero de 2014) -Reporte de http://openntpproject.org
Se calcula que hay más 30 millones de servidores DNS recursivos (open) vulnerables (a fecha de Octubre de 2013) -Reporte de http://openresolverproject.org
Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados
- DNS
- NTP
- SNMPv2
- NetBIOS
- SSDP
- CharGEN
- QOTD
- BitTorrent
- Kad
- Quake Network Protocol
- Steam Protocol
- RIPv1
- Multicast DNS (mDNS)
- Portmap/RPC
- LDAP
- Constrained Application Protocol (CoAP)
- Memcached
- WS-Discovery
| Protocolo | Multiplicador |
| DNS | 28 a 54 |
| NTP | 556.9 |
| SNMPv2 | 6.3 |
| NetBIOS | 3.8 |
| SSDP | 32 |
| CharGEN | 358.8 |
| QOTD | 140.3 |
| BitTorrent | 3.8 |
| Kad | 16.3 |
| Quake Network Protocol | 63.9 |
| Steam Protocol | 5.5 |
| Multicast DNS (mDNS) | 2 a 10 |
| RIPv1 | 131.24 |
| Portmap (RPCbind) | 7 a 28 |
| LDAP | 46 a 55 |
| CLDAP | 56 a 70 |
| TFTP | 60 |
| Memcached | 200 |
| CoAP | 10 a 50 |
| WS-Discovery | 10 a 500 |
Fuentes:
https://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html
https://blog.elhacker.net/2015/04/detener-mitigacion-de-ataques-udp-reflection-drdos-drddos.html
No hay comentarios:
Publicar un comentario