Y lo peor está por llegar...

Ataque DDoS ntp reflection

Cada vez que leo o escucho esta frase siempre se me viene a la cabeza la maldita crisis financiera en la que estamos inmersos. Obviamente no vengo aquí a hablaros de economía, pero la frase me viene como anillo al dedo para darle título a esta entrada, ya que después de los últimos acontecimientos en cuanto a incidencias y ataques informáticos parece que las previsiones no son muy optimistas. Así que habrá que ponerse las pilas, conocer las amenazas que nos acechan en la red para saber cómo defendernos de ellas.

El pasado martes por la tarde se produjo el mayor ataque de denegación de servicio de la historia. Una denegación de servicio es una técnica usada por atacantes para provocar que un sistema o servicio no esté accesible o colapsarlo para que su respuesta sea lenta o prácticamente nula. El ataque en este caso se centró en servidores NTP (Network Time Protocol).

Estos servidores tienen como misión mantener sincronizada la hora de un servidor, tarea simple pero fundamental para los servidores para evitar problemas derivados del desajuste horario entre éstos. El problema de estos servidores es que trabajan sobre el protocolo de transporte UDP, el cual por naturaleza no es seguro, al menos no está diseñado para serlo.

Esto permitió que un grupo organizado utilizara servidores NTP de todo el mundo para provocar una gran cantidad de tráfico en Internet y redirigir este tráfico a los servidores de sus víctimas, que al no poder atender tanto tráfico, terminaban por no poder dar servicio a peticiones legítimas de clientes reales. No es la primera vez que ocurre esto, de hecho ha ocurrido ya en varias ocasiones con servidores DNS, que al igual que los NTP trabajan sobre el protocolo, no orientado a la seguridad, UDP.

Según mis últimas investigaciones, hay cerca de 1.900.000 servidores NTP en todo el mundo, al menos eso dice el "buscador de los hackers", Shodan, de los que el 70% son vulnerables y podrían haber sido usado para este ataque. A la problemática del tráfico generado, se une que los servidores NTP tienen un factor de amplificación del tráfico muy alto, x400. Es decir, por cada byte generado en la petición a un servidor, este puede llegar a generar 400 bytes para la respuesta.

Pues bien, después de que hayan sido utilizados servidores (tipo UDP) como son DNS y NTP, parece que el siguiente protocolo a explotar para este tipo de ataques es el SNMP, que al igual que los anteriores, también está basado en UDP. El problema es que según Shodan, no son 1.900.000 servidores los que hay indexados, sino cerca de 12.000.000. Pero no queda ahí la cosa, el factor de amplificación de SNMP puede llegar a los x650.

Vamos, que lo peor está por llegar...

Estaremos atentos!

Etiquetas
Publicado el
13 de febrero de 2014 - 22:43 h
stats