Amplification DDoS Attack

Ninguna organización quiere que sus escasos recursos sean utilizados mal-intencionadamente para realizar ataques sin su consentimiento y conocimiento, por este motivo es muy importante monitorizar y proteger adecuadamente nuestros servicios y líneas de comunicaciones.

Todos sabemos que los servidores suelen tener gran capacidad de cómputo y un acceso a Internet muy superior a cualquier usuario doméstico en su casa. Por tanto los atacantes han comenzado a explotar las vulnerabilidades de los servidores para crear botnets de servidores, en lugar de utilizar botnets de equipos de usuarios mucho menos potentes y con acceso limitado a Internet, para saturar los recursos de sus víctimas y así interrumpir sus servicios consumiendo los recursos disponibles.

Mediante una botnet de servidores podemos realizar un Ataque de DDoS, pero si queremos aumentar el ataque de DDoS de manera considerable se puede emplear la técnica del Ataque Amplificado. Mediante este ataque se puede alcanzar un uso de ancho de banda de manera notable, provocando una denegación de servicio sobre la línea de acceso a Internet de la víctima.

Amplification attack originalmente se basa en el Ataque Smurf que consiste en que el atacante con tan solo un paquete de broadcast ICMP request y realizando IP Spoofing puede hacer que la víctima reciba una gran cantidad de solicitudes:

Si en lugar de utilizar ICMP request en el ataque anterior realizamos pequeñas solicitudes a algún servicio que genere respuestas de gran tamaño, estaríamos amplificando aún más el ancho de banda y los recursos de cómputo que la víctima necesita para procesar todas las solicitudes, pudiendo provocar la denegación del servicio porque la víctima no disponga de los recursos necesarios.

 

Hasta el momento existen dos casos muy conocidos de Ataque Amplificado. El primero y más reciente NTP Amplification DDoS Attack alcanzó un throughput de 400 Gbps utilizando más de 4000 servidores NTP vulnerables y el segundo DNS Amplification DDoS Attack contra la empresa Spamhaus que alcanzó un throughput de 300 Gbps utilizando los servidores DNS del proyecto Open DNS resolver. Por ejemplo, en este último caso los atacantes con cada petición de DNS de 64 bytes conseguían amplificar la respuesta hacia la víctima en más de 3000 bytes, obteniendo un ratio de amplificación por cada petición de 50x.

Si no quieres participar en este tipo de ataques distribuidos sin saberlo, comienza por monitorizar adecuadamente tus recursos, comprueba si tus servidores NTP son vulnerables o si tu servidor de DNS responde con peticiones de gran tamaño:

dig isc.org ANY @x.x.x.x +edns=0 +notcp +bufsize=4096

Si tras realizar análisis de vulnerabilidades de tus servicios y hardening de tus servidores aún no te encuentras tranquilo, tal vez es el momento de implantar Geobalanceo para asegurar la continuidad y disponibilidad de tus servicios.

Un saludo amigos!!