Tipos de ataques DDoS que he recibido – I

Recuerdo aún cuando en el 2012 ví el primer ataque DDoS de amplificación UDP, aquel fue de DNS…

No fuimos objetivo del ataque sinó que se usó un dns nuestro como amplificador.

Aunque en realidad dicho server no era un “open resolver“, simplemente se nos usó como vector para amplificar peticiones mediante queries tipo “ANY”.

El descubrimiento fue por casualidad ya que era de poco volumen, pero afectó a la cpu de un clúster de balanceadores Cisco CSS:

 

El problema de CPU del CSS lo solucionamos con un parche y modificación del tipo de balanceo:

flow-state 53 udp flow-disable nat-enable
  • Ataques de Amplificación UDP. Breve introducción:

Los ataques de amplificación UDP se basan en inundar al host atacado con tanto tráfico que no pueda responder correctamente a su propio tráfico legítimo ( degradación de red ).
Esto es, saturar el ancho de banda que disponga. A veces además, si se consigue traspasar los equipos perimetrales de red, se puede llegar a degradar a otros dispositivos.

La mayoría de ataques de amplificación UDP son reflejados. Los actores de este tipo de ataques son de 3 tipos:
– El verdadero atacante ( que usará spoofing haciéndose pasar por la ip del atacado ) o que usará una botnet que a su vez usará spoofing.
– Los amplificadores del ataque ( hosts vulnerables o mal configurados que amplificarán las peticiones spoofeadas )
– La víctima ( al que han suplantado su IP y recibirá el tráfico )

  • Veamos un ejemplo de ataque de amplificación dns:

– El atacante realiza una query DNS ( tipo ANY, TXT … ) falsificando su IP, haciéndose pasar por la ip del atacado. ( su query pongamos que le cuesta 64 bytes de tráfico de subida )

– El host amplificador recibe la query del atacante ( spoofing ) y responde a la ip real del atacado con 3300 bytes ( factor de amplificación de 51x ).

– El atacado recibe los 3300 bytes ( que no ha solicitado ) con puerto origen UDP/53 y puerto de destino dinámico.

Ahora multiplicamos este paquete de un host por miles de hosts de una botnet y  … festival !

actores-DDoS-Amplificacion-UDP

En el caso de DNS, la mayoría de dns resolvers hacen el “truncate” a TCP cuando la respuesta supera 512 bytes y no se consigue la amplificación UDP.
Pero el problema persiste ahí fuera todavía, porque dns con respuesta mayor a 512 Bytes y sobre UDP sigue siendo necesario en algunas implementaciones.
Hay controversia además por superar la MTU y la fragmentación etc …

Además actualmente muchos routers domésticos son usados por botnets y les suben el código, tools … Es decir, que sigue ahí.

Para ver el flag de truncate en wireshark usar como filtro:

dns.flags.truncated == 1

Y ahora veamos finalmente el volumen de un DDoS de Amplificación UDP que recibí:

9 Gbps de tráfico UDP y 3,5 Mpps

ataque-DDoS

Continuará …

 

Leave a Reply

Your email address will not be published. Required fields are marked *