Los delincuentes están aumentando la potencia de los ataques distribuidos de denegación de servicio con una técnica que abusa de un protocolo de Internet ampliamente utilizado que aumenta drásticamente la cantidad de tráfico basura dirigido a servidores específicos.
Los DDoSes son ataques que inundan un sitio web o servidor con más datos de los que puede manejar. El resultado es una denegación de servicio a las personas que intentan conectarse al servicio. A medida que los servicios de mitigación de DDoS desarrollan protecciones que permiten a los objetivos resistir torrentes de tráfico cada vez más grandes, los delincuentes responden con nuevas formas de aprovechar al máximo su ancho de banda limitado.
Aumentándose
En los llamados ataques de amplificación, los DDoSers envían solicitudes de tamaños de datos relativamente pequeños a ciertos tipos de servidores intermediarios. Luego, los intermediarios envían a los objetivos respuestas que son decenas, cientos o miles de veces más grandes. La redirección funciona porque las solicitudes reemplazan la dirección IP del atacante con la dirección del servidor al que se dirige.
Otros vectores de amplificación bien conocidos incluyen el sistema de almacenamiento en caché de la base de datos memcached con un factor de amplificación asombroso de 51.000, el protocolo de tiempo de red con un factor de 58 y servidor es DNS mal configurados con un factor de 50.
El proveedor de mitigación de DDoS, Netscout, dijo el miércoles que ha observado que los servicios de DDoS contratados adoptan un nuevo vector de amplificación. El vector es el Seguridad de la capa de transporte de datagramas, o D / TLS, que (como su nombre indica) es esencialmente el Transport Layer Security para paquetes de datos UDP. Así como TLS evita la interceptación, la manipulación o la falsificación de paquetes TLS, D / TLS hace lo mismo con los datos UDP.
Los ataques DDoS que abusan de D / TLS permiten a los atacantes amplificar sus ataques en un factor de 37. Anteriormente, Netscout solo veía atacantes avanzados que usaban infraestructura DDoS dedicada abusando del vector. Ahora, los llamados servicios de arranque y estrés, que utilizan equipos básicos para proporcionar ataques por encargo, han adoptado la técnica. La compañía ha identificado casi 4.300 servidores D / LTS accesibles públicamente que son susceptibles al abuso.
Los mayores ataques basados en D / TLS que Netscout ha observado generaron aproximadamente 45 Gbps de tráfico. Las personas responsables del ataque lo combinaron con otros vectores de amplificación para lograr un tamaño combinado de aproximadamente 207 Gbps.
Los atacantes expertos con su propia infraestructura de ataque normalmente descubren, redescubren o mejoran los vectores de amplificación y luego los utilizan contra objetivos específicos. Eventualmente, la palabra se filtrará al mundo subterráneo a través de foros de la nueva técnica. Los servicios de booter / estresores luego hacen investigación e ingeniería inversa para agregarlo a su repertorio.
Desafiante de mitigar
El ataque observado “consiste en dos o más vectores individuales, orquestados de tal manera que el objetivo es golpeado a través de los vectores en cuestión simultáneamente”, escribieron en un correo electrónico el gerente de inteligencia de amenazas de Netscout, Richard Hummel, y el ingeniero principal de la compañía, Roland Dobbins. “Estos ataques de múltiples vectores son el equivalente en línea de un ataque de armas combinadas, y la idea es abrumar a los defensores en términos de volumen de ataque y presentar un escenario de mitigación más desafiante”.
Los 4.300 servidores D / TLS abusados son el resultado de configuraciones incorrectas o software desactualizado que hace que se desactive un mecanismo anti-spoofing. Si bien el mecanismo está integrado en la especificación D / TLS, el hardware, incluido Citrix Netscaller Application Delivery Controller, no siempre lo activaba de forma predeterminada. Citrix ha animado más recientemente a los clientes a actualizar a una versión de software que utiliza anti-spoofing de forma predeterminada.
Además de representar una amenaza para los dispositivos en Internet en general, los servidores D / TLS abusivos también ponen en riesgo a las organizaciones que los utilizan. Los ataques que hacen que el tráfico rebote en una de estas máquinas pueden crear una interrupción total o parcial de los servicios de acceso remoto de misión crítica dentro de la red de la organización. Los ataques también pueden causar otras interrupciones del servicio.
Hummel y Dobbins de Netscout dijeron que los ataques pueden ser difíciles de mitigar porque el tamaño de la carga útil en una solicitud D / TLS es demasiado grande para caber en un solo paquete UDP y, por lo tanto, se divide en un flujo de paquetes inicial y no inicial. .
“Cuando se fragmentan paquetes UDP grandes, los fragmentos iniciales contienen números de puerto de origen y destino”, escribieron. “Los fragmentos no iniciales no lo hacen; Por lo tanto, al mitigar un vector de reflexión / amplificación de UDP que consta de paquetes fragmentados, como la reflexión / amplificación de DNS o CLDAP, los defensores deben asegurarse de que las técnicas de mitigación que emplean puedan filtrar tanto los fragmentos iniciales como los no iniciales del tráfico de ataque DDoS. en cuestión, sin overclocking de fragmentos no iniciales legítimos de UDP “.
Netscout tiene recomendaciones adicionales aquí.