Ataque de amplificación basado en UDP
1. Impacto en el sistema
Ciertos protocolos de capa de aplicación que se basan en el Protocolo de datagramas de usuario (UDP) se han identificado como posibles vectores de ataque. Estos incluyen:
Sistema de nombres de dominio,
Protocolo de tiempo de red (NTP)
Protocolo ligero de acceso a directorios sin conexión (CLDAP),
Protocolo de generación de caracteres (CharGEN)
Protocolo simple de descubrimiento de servicios,
BitTorrent,
Protocolo simple de administración de red versión 2 (SNMPv2)
Kad,
Mapeo de puertos/llamada a procedimiento remoto (RPC),
Cita del día (QOTD)
Sistema de nombres de dominio de multidifusión (mDNS),
Sistema básico de entrada y salida de red (NetBIOS)
Protocolo de red Quake,
Protocolo de streaming,
Protocolo de información de enrutamiento versión 1 (RIPv1)
Protocolo ligero de acceso a directorios (LDAP),
Protocolo trivial de transferencia de archivos (TFTP) y
Memcached,
y servicio web dinámico descubrimiento (WS-Discovery).
2. Descripción general
La denegación de servicio reflejada distribuida (DRDoS) es una forma de ataque de denegación de servicio distribuida (DDoS) que se basa en servidores UDP de acceso público y factores de amplificación de ancho de banda (BAF). ) que inundan el sistema de la víctima con tráfico UDP.
3. Descripción
Por diseño, UDP es un protocolo sin conexión que no verifica la dirección del Protocolo de Internet (IP) de origen. A menos que los protocolos de la capa de aplicación utilicen contramedidas, como el inicio de sesión en Voz sobre Protocolo de Internet, un atacante puede falsificar fácilmente un datagrama de paquete IP (la unidad de transmisión básica asociada con las redes de conmutación de paquetes) para incluir una dirección IP de origen arbitraria. Cuando la dirección IP de origen de muchos paquetes UDP se falsifica para que sea la dirección IP de la víctima, el servidor (o amplificador) de destino responde a la víctima (en lugar del atacante), creando un ataque de denegación de servicio reflejado (DoS).
Ciertos comandos del protocolo UDP pueden desencadenar una respuesta mucho mayor que la solicitud inicial. Anteriormente, los atacantes estaban limitados a la hora de realizar ataques DoS por el número lineal de paquetes enviados directamente al objetivo; ahora un solo paquete puede generar de 10 a 100 veces el ancho de banda original. Esto se denomina ataque de amplificación y, cuando se combina con un ataque DoS de reflexión a gran escala que utiliza múltiples amplificadores y apunta a una sola víctima, un ataque DDoS se puede llevar a cabo con relativa facilidad.
El efecto potencial de un ataque de amplificación se puede medir mediante el BAF, que se puede calcular como el número de bytes de carga útil UDP enviados por el amplificador en respuesta a la solicitud en comparación con el número de bytes de carga útil UDP solicitados. .
A continuación se muestra una lista de protocolos conocidos y sus BAF asociados. CISA agradece a Christian Rossow por proporcionar esta información. Para obtener más información sobre los BAF, consulte el blog de Christian y los resultados de investigaciones relacionados.
En marzo de 2015, el Centro de Coordinación CERT de la Sociedad de Ingeniería de Software publicó la nota de vulnerabilidad VU#550620, que describe el uso de mDNS en ataques DRDoS. Un atacante puede explotar mDNS enviando más información de la que el dispositivo puede manejar, lo que resulta en un estado DoS.
En julio de 2015, el equipo de investigación e ingeniería de seguridad Prolexic de Akamai Technologies (PLXsert) publicó un informe de amenazas que informaba de un aumento en los ataques DRDoS utilizando RIPv1. Los actores maliciosos aprovechan el comportamiento de RIPv1 para la reflexión de DDoS mediante consultas de solicitud especialmente diseñadas.
En agosto de 2015, el Laboratorio de Investigación de Amenazas de Nivel 3 informó de un nuevo ataque DRDoS utilizando portmap. El atacante aprovecha el comportamiento del servicio portmap para enviar tráfico UDP a la red de la víctima mediante solicitudes de suplantación.
En octubre de 2016, Corero Network Security informó de un nuevo ataque de amplificación DDoS utilizando un servidor de servicio de directorio LDAP para atacar a sus clientes.
En noviembre de 2017, Netlab 360 informó que CLDAP es actualmente el tercer ataque DRDoS más común, detrás de los ataques DNS y NTP.
En febrero de 2018, SENKI informó de un aumento en los ataques DDoS de reflexión basados en Memcached (a través del puerto UDP/TCP 11211), alcanzando factores de amplificación sin precedentes.
En septiembre de 2019, Akamai informó de un ataque DDoS utilizando el protocolo WS-Discovery (a través del puerto TCP/UDP 3702).
4. Impacto
Los atacantes pueden explotar el ancho de banda y la confianza relativa de los grandes servidores que proporcionan el protocolo UDP en esta alerta para entregar tráfico no deseado a las víctimas y crear ataques DDoS.
5. Solución
Detección
Detectar ataques DRDoS no es fácil porque utilizan grandes servidores confiables que brindan servicios UDP. Los operadores de red con estos servicios explotables pueden aplicar técnicas tradicionales de mitigación de DoS. Para detectar ataques DRDoS, esté atento a respuestas inusualmente grandes a una dirección IP específica, lo que puede indicar que un atacante está utilizando el servicio.
Hay algunas cosas que las víctimas de ataques DRDoS pueden hacer para detectar y reaccionar ante esta actividad:
1. Detectar y alertar sobre paquetes UDP grandes a puertos de comando superiores.
2. Detectar y alertar sobre cualquier paquete UDP sin estado. (A continuación se muestra un ejemplo simple de Snort. Este enfoque debe personalizarse para cada entorno con listas blancas y servicios conocidos.
3. Los proveedores ascendentes deben actualizar su información de contacto con los clientes descendentes y el método para enviar alertas a través de la red.
En general, los administradores de redes y servidores de los proveedores de servicios de Internet (ISP) deben adoptar las siguientes mejores prácticas para evitar convertirse en nodos amplificadores:
1. Utilizar flujos de red para detectar paquetes falsificados. (Consulte la sección Mitigación a continuación para obtener información sobre cómo validar el tráfico falsificado antes de bloquearlo). 2. Utilice flujos de red u otros datos de red resumidos. Supervise números inusuales de solicitudes a servicios UDP riesgosos.
3. Utilice el tráfico de red para. detectar anomalías en el servicio (por ejemplo, bytes por paquete y paquetes por segundo). > Mitigación
Los siguientes pasos pueden ayudar a mitigar los ataques DRDoS:
1. Utilice una inspección UDP con estado (como la reflectante). listas de control de acceso) para reducir el impacto en los servicios críticos en el firewall fronterizo o el enrutador fronterizo Impacto [13]
2. Utilice el protocolo de puerta de enlace fronteriza (BGP) para crear un agujero negro activado de forma remota, preferiblemente trabajando con. un proveedor ascendente o ISP [14]
3. Mantener una lista de contactos de emergencia de proveedores ascendentes clave para coordinar las respuestas a los ataques. Los proveedores ascendentes deben coordinar los esfuerzos de mitigación con los clientes descendentes. En términos generales, los administradores de servidores y redes de ISP deben utilizar las siguientes mejores prácticas para evitar convertirse en un nodo amplificador:
1. Actualice periódicamente el software y la configuración para negar o limitar el abuso (por ejemplo, límites de tasa de respuesta de DNS).
2. Deshabilite y elimine servicios innecesarios o niegue el acceso a servicios locales a través de Internet
3. Utilice protocolos UDP, como: Calidad de servicio (QoS) en dispositivos de tráfico y enrutamiento —— Para respaldar la limitación de tarifas basada en la red de los servicios legales proporcionados en Internet
4. Trabajar con los proveedores y fabricantes de los clientes para garantizar una configuración y un software seguros
Como Internet. proveedor de servicios, para evitar el abuso de los recursos de Internet:
1. Utilice el filtrado de entrada para bloquear paquetes falsificados (consulte el proyecto spoofer [19] y las directrices IETF BCP 38 y BCP 84 >
2. Utilice). ajuste de tráfico para solicitudes de servicio UDP para garantizar que no se abuse del acceso repetido a los recursos de Internet