El DrDoS es un ataque cada vez más comun que se aprovechan del poder multiplicador, al poder amplificar el tráfico que pueden generar y enviar a una víctima.
Pero ¿cómo funciona DrDoS?
El ataque radica en la suplantación de identidad de la victima en servidores que sean vulnerables, haciendo peticiones sobre protocolos los cuales implican una respuesta, de tal forma que los servidores inundarán a la victima con respuestas a solicitudes que nunca pidió.
De forma técnica supone el envío de resquest falsas (spoofed) a un gran número de equipos que responden a las solicitudes. Falsificando (spoofing) la dirección ip de origen el atacante consigue que respondan y ataquen «involuntariamente» a la víctima.
A diferencia de otros ataques más convencionales de DOS, en el cual usaban una botnet de máquinas infectadas o controladas de alguna manera por el atacante (irc, vía web, etc), en el caso del DrDOS sólo se necesita tener un gran listado de ip’s vulnerables los cuales puedes obtener con un simple escaner de puertos.
Dichos servidores no están infectados y tampoco son controladas por el atacante, simplemente son servicios o protocolos los cuales están abiertos y son vulnerables a que respondan a peticiones maliciosas.
Algunos de los servicios o protocolos los cuales son vulnerables a este tipo de ataques son:
- DNS con el puerto 53 bajo UDP
- CharGen (Character Generator Procotol) con el puerto 19
- Echo con el puerto 7
- QOTD: (Quote of the Day) con el puerto 17
- NTP (Network Time Protocol) con el puerto 123
- SNMP (Simple Network Management Protocol) con el puerto 161
- SSDP (Simple Service Discovery Protocol) con el puerto 1900
- LDAP/CLDAP con el puerto 389
A continuación una ilustración del ataque:
Este ataque de forma distribuida y reflejada se vería de la siguiente manera:
Debido a que este ataque se vale de la comunicación estandar, es casi imposible mitigarlo ya que forman parte del Zero-configuration networking (zeroconf), sería como cerrar una pizzería solo porque algunas llamadas en broma resultarían ser falsas, simplemente forma parte de la comunicación base.
Es muy facil saber si tu servidor está siendo utilizado como reflector, simplemente escanéalo y cierra los puertos en caso que no sean necesarios, en NMAP por ejemplo puedes detectar si estás usando el protocolo SSDP con el siguiente comando:
nmap -sU -p 1900 –script=upnp-info
Recuerda que la mínima superficie de exposición siempre será la mejor forma de cuidar tu servidor.
?){kind=link}