Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nuevo método ataque DrDDoS utilizando nuevo vector: firewalls


Los ataques DrDoS tienen como fin hacer que un servidor, como puede ser de una página web, no responda correctamente. Esto significa que va a dejar de funcionar y, en el caso de un sitio web, no vamos a poder acceder a él.



 


Nuevo método para amplificar ataques DrDoS

Es lógico pensar que no todos los equipos tienen la misma capacidad. Hablamos de la misma velocidad de Internet o características propias para realizar solicitudes de este tipo y llegar a saturar un servidor. 

Sin embargo, un nuevo método es capaz de amplificar los ataques DrDoS hasta niveles enormes. Concretamente, son capaces de lograr una amplificación del 6533%. Esto permite que realicen ataques de este tipo con equipos muy limitados en cuento a ancho de banda y especificaciones y lograr su objetivo.

Los investigadores de seguridad detrás de este descubrimiento han llamado a este método TCP Middlebox Reflection. Con middlebox se refieren a un dispositivo que se encarga de inspeccionar paquetes o filtrar el contenido al monitorear y transformar los flujos de paquetes intercambiados entre dos dispositivos en Internet.

El ataque abusa de los firewalls vulnerables y los sistemas de filtrado de contenido para reflejar y amplificar el tráfico TCP a una máquina víctima, creando un poderoso ataque DDoS. Los middleboxes van desde censores de estados-nación, como el Gran Cortafuegos de China, hasta sistemas de filtrado de contenido empresarial corporativo, y se pueden encontrar en todo el mundo. 

 La mayoría de los ataques DrDoS abusan del protocolo UDP para amplificar la entrega de paquetes, generalmente enviando paquetes a un servidor que responde con un tamaño de paquete más grande, que luego se reenvía al objetivo previsto del atacante.

El ataque TCP se aprovecha de los middleboxes de la red que no cumplen con el estándar TCP. Los investigadores encontraron cientos de miles de direcciones IP que podrían amplificar los ataques más de 100 veces utilizando firewalls y dispositivos de filtrado de contenido. Entonces, lo que fue un ataque teórico hace solo ocho meses ahora es una amenaza real y activa. 

Lo que logran es abusar de los firewalls vulnerables y utilizar secuencias de paquetes TCP especialmente diseñadas que hacen que los dispositivos emitan una respuesta voluminosa. Observaron un paquete de 33 bytes que activaba una respuesta de 2156 bytes, por lo que multiplicaba por 65.

Aseguran que hay cientos de miles de dispositivos de este tipo que pueden ser explotados en todo el mundo. Pueden lograr ataques DrDoS de gran impacto sin necesidad de contar con equipos potentes o un gran ancho de banda.

Ya han detectado ataques de este tipo explotados en la vida real. No obstante, por el momento han tenido un impacto pequeño. Los más significativos, según indican, alcanzaron los 11 Gbps. No obstante, creen que es solo cuestión de tiempo que logren mejorar sus técnicas y alcanzar ataques mucho más significativos.

La técnica de amplificación fue revelada en un trabajo de investigación [PDF] en agosto pasado en la Conferencia USENIX Security 2021 , que mostró que los atacantes pueden abusar de los middleboxes como los firewalls a través de TCP para magnificar los ataques de denegación de servicio. El documento fue de investigadores de la Universidad de Maryland y la Universidad de Colorado Boulder. 

"Reflexión de la caja intermedia" de TCP para los ataques DrDoS amplificados

Los ataques de denegación de servicio distribuido (DrDoS) que aprovechan una nueva técnica de amplificación llamada TCP Middlebox Reflection se han detectado por primera vez en la naturaleza, seis meses después de que se presentara en teoría el nuevo mecanismo de ataque.

"El ataque […] abusa de los cortafuegos vulnerables y los sistemas de filtrado de contenido para reflejar y amplificar el tráfico TCP a una máquina víctima, creando un poderoso ataque DrDoS", dijeron los investigadores de Akamai en un informe publicado el martes.

"Este tipo de ataque reduce peligrosamente el listón de los ataques DrDoS, ya que el atacante necesita tan solo 1/75 (en algunos casos) de la cantidad de ancho de banda desde un punto de vista volumétrico", agregaron los investigadores.

Una denegación de servicio reflexiva distribuida (DRDoS) es una forma de ataque de denegación de servicio distribuido (DrDoS) que se basa en servidores UDP de acceso público y factores de amplificación de ancho de banda (BAF) para abrumar el sistema de una víctima con un alto volumen de UDP. respuestas

En estos ataques, el adversario envía una avalancha de solicitudes DNS o NTP que contienen una dirección IP de origen falsificada al activo objetivo, lo que hace que el servidor de destino entregue las respuestas al host que reside en la dirección falsificada de una manera amplificada que agota el ancho de banda. emitido al objetivo.

Reflexión de caja intermedia TCP

El desarrollo se produce después de un estudio académico publicado en agosto de 2021 sobre un nuevo vector de ataque que explota las debilidades en la implementación del protocolo TCP en los middleboxes y la infraestructura de censura para llevar a cabo ataques de amplificación de denegación de servicio (DoS) reflejados contra objetivos.

Si bien los ataques de amplificación DoS han abusado tradicionalmente de los vectores de reflexión UDP, debido a la naturaleza sin conexión del protocolo, el enfoque de ataque no convencional aprovecha el incumplimiento de TCP en cajas intermedias, como las herramientas de inspección profunda de paquetes (DPI) para realizar ataques de amplificación reflexiva basados ​​en TCP. .

Se dice que la primera ola de campañas de ataque "perceptibles" que aprovecharon el método se produjo alrededor del 17 de febrero y afectó a los clientes de Akamai en las industrias de banca, viajes, juegos, medios y alojamiento web con grandes cantidades de tráfico que alcanzaron un máximo de 11 Gbps en 1,5 millones de paquetes por segundo (Mpps).

"Se ha visto que el vector se usa solo y como parte de campañas de múltiples vectores, con el tamaño de los ataques aumentando lentamente", dijo Chad Seaman, líder del equipo de investigación de inteligencia de seguridad (SIRT) de Akamai.

La idea central con la reflexión basada en TCP es aprovechar los middleboxes que se utilizan para hacer cumplir las leyes de censura y las políticas de filtrado de contenido empresarial mediante el envío de paquetes TCP especialmente diseñados para desencadenar una respuesta volumétrica.

De hecho, en uno de los ataques observados por la empresa de seguridad en la nube, un solo paquete SYN con una carga útil de 33 bytes desencadenó una respuesta de 2156 bytes, logrando efectivamente un factor de amplificación de 65x (6533%).

"La conclusión principal es que el nuevo vector está comenzando a ver abuso en el mundo real en la naturaleza", dijo Seaman. "Por lo general, esta es una señal de que es probable que siga un abuso más generalizado de un vector en particular a medida que crece el conocimiento y la popularidad en el panorama DrDoS y más atacantes comienzan a crear herramientas para aprovechar el nuevo vector".

"Los defensores deben ser conscientes de que hemos pasado de la teoría a la práctica, y deben revisar sus estrategias defensivas de acuerdo con este nuevo vector, que pronto verán en el mundo real", agregó Seaman. 

Fuentes:

https://www.akamai.com/blog/security/tcp-middlebox-reflection

https://thehackernews.com/2022/03/hackers-begin-weaponizing-tcp-middlebox.html

https://www.redeszone.net/noticias/seguridad/nuevo-metodo-dispositivo-ataques-ddos/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.