Los DDoSers utilizan un método nuevo y poderoso para lanzar ataques de una magnitud inimaginable

En agosto pasado, los investigadores académicos descubrieron una nueva y poderosa forma de desconectar los sitios web: una flota de servidores mal configurados de más de 100 000 servidores que pueden amplificar inundaciones de datos basura a tamaños que alguna vez fueron impensables. Estos ataques pueden, en muchos casos, dar como resultado un bucle de enrutamiento interminable que provoca una avalancha de tráfico que se perpetúa a sí misma. Ahora, la red de entrega de contenido Akamai dice que los atacantes están explotando los servidores para atacar sitios web en las industrias de banca, viajes, juegos, medios y alojamiento web.

Estos servidores, conocidos como middleboxes, son utilizados por estados-nación como China para censurar contenido restringido y por grandes organizaciones para bloquear sitios web que distribuyen pornografía, apuestas y contenido pirateado. Los servidores no se adhieren a las especificaciones del protocolo de control de transmisión, que requieren un protocolo de enlace de tres vías, que consiste en un paquete SYN enviado por el cliente, una respuesta SYN+ACK del servidor, seguida de un paquete ACK de reconocimiento del cliente, antes de conectarse. .

Este protocolo de enlace evita que la aplicación basada en TCP se use como repetidor, ya que la confirmación ACK debe provenir de la empresa de juegos u otro objetivo, y no de un atacante que suplanta la dirección IP del objetivo. Pero dada la necesidad de manejar el enrutamiento asimétrico, donde el middlebox puede monitorear los paquetes entregados por el cliente pero no el destino final, que está censurado o bloqueado, muchos de estos servidores intrínsecamente cumplen con este requisito.

Un arsenal escondido

En agosto pasado, investigadores de la Universidad de Maryland y la Universidad de Colorado en Boulder publicaron una investigación que mostraba que había cientos de miles de middleboxes que tenían el potencial de desencadenar algunos de los ataques distribuidos de denegación de servicio más paralizantes jamás vistos.

Durante décadas, las personas han usado DDoS para inundar sitios web con más tráfico o demandas informáticas de las que los sitios web pueden manejar, negando el servicio a usuarios legítimos. Los ataques DDoS son similares a la vieja broma de enrutar más llamadas a la pizzería que las líneas telefónicas que la pizzería tiene para manejar.

Para maximizar el daño y conservar los recursos, los DDoSers a menudo aumentan la potencia de fuego de sus ataques a través de vectores de beneficio. La amplificación funciona falsificando la dirección IP del objetivo y reenviando una cantidad relativamente pequeña de datos a un servidor mal configurado que se usa para resolver nombres de dominio, sincronizar relojes de computadora o acelerar el almacenamiento en caché de la base de datos. Debido a que la respuesta que los servidores envían automáticamente es decenas, cientos o miles de veces mayor que la solicitud, la respuesta supera al objetivo falso.

Los investigadores dijeron que al menos 100.000 de los middleboxes que identificaron excedieron las ganancias de los servidores DNS (alrededor de 54x) y los servidores de Network Time Protocol (alrededor de 556x). Los investigadores dijeron que identificaron cientos de servidores que aumentaron el tráfico a un multiplicador más alto que los servidores mal configurados que usan Memcached, un sistema de almacenamiento en caché de bases de datos para acelerar los sitios web que aumentaron el volumen de tráfico en una asombrosa cantidad de 51,000 veces.

Aquí hay dos ilustraciones que muestran cómo funcionan los ataques:

Bok et al.

día del juicio final

Los investigadores dijeron en ese momento que no tenían evidencia de que los ataques de amplificación DDoS de middlebox se estuvieran utilizando activamente en la naturaleza, pero esperaban que solo fuera cuestión de tiempo antes de que esto sucediera.

El martes, los investigadores de Akamai informaron que ese día había llegado. La semana pasada, los investigadores de Akamai dijeron que habían descubierto varios ataques DDoS que usaban middleboxes exactamente como habían predicho los investigadores académicos. Los ataques alcanzaron un máximo de 11 Gbps y 1,5 millones de paquetes por segundo.

Aunque son pequeños en comparación con los ataques DDoS más grandes, ambos equipos de investigación esperan que los ataques crezcan a medida que los DDoSers comiencen a modificar sus ataques e identifiquen más middleboxes de los que se puede abusar (los investigadores académicos no publicaron estos datos para evitar el uso indebido). ).

Kevin Bock, el investigador principal detrás de la investigación de agosto pasado, dijo que los DDoSers tienen muchos incentivos para reproducir los ataques teorizados por su equipo.

«Desafortunadamente, no nos sorprendió», me dijo al enterarse de los ataques activos. “Anticipamos que era solo cuestión de tiempo antes de que estos ataques se llevaran a cabo en la naturaleza debido a su simplicidad y alto impacto. Quizás lo peor de todo es que los ataques son nuevos; Como resultado, muchos operadores aún tienen que implementar defensas, lo que lo hace aún más tentador para los atacantes”.

Uno de los middleboxes recibió un paquete SYN con una carga útil de 33 bytes y respondió con una respuesta de 2156 bytes.

akamai

Eso es un factor de 65x, pero la ganancia puede ser mucho mayor con más trabajo.

Los investigadores de Akamai escribieron:

Anteriormente, los ataques TCP volumétricos requerían que un atacante tuviera acceso a muchas máquinas y mucho ancho de banda, normalmente un campo reservado para máquinas muy robustas con conexiones de gran ancho de banda y capacidades de suplantación de fuente, o botnets. Porque hasta el momento no ha habido ningún ataque de amplificación significativo para el protocolo TCP; Fue posible una ligera ganancia, pero se consideró casi insignificante o al menos inferior e ineficaz en comparación con las alternativas UDP.

Si quisiera combinar una inundación SYN con un ataque volumétrico, necesitaría entregar una proporción de ancho de banda de 1:1 a la víctima, generalmente en forma de paquetes SYN acolchados. Con la llegada del refuerzo de la caja intermedia, esta comprensión de larga data de los ataques TCP ya no es precisa. Ahora, un atacante solo necesita 1/75 (en algunos casos) de la cantidad de ancho de banda desde una perspectiva volumétrica y, debido a las peculiaridades de algunas implementaciones de middlebox, los atacantes obtienen una inundación SYN, ACK o PSH+ACK de forma gratuita.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí