Ataques DDoS y las técnicas reflexión y ampliación
Podríamos decir que el 2020 ha sido el resurgimiento de ataques DDoS, y si 2021 sigue así, la tendencia continuará con fuerza. Así que mejor tener claro en qué consiste una de las técnicas que se está utilizando para estar prevenido: reflexión y ampliación.
Reflexión y amplificación son mecanismos utilizados comúnmente en los ataques DDoS. Estas técnicas sencillas y muy efectivas ganaron popularidad alrededor del año 2013. Con su uso se aprovechan de los servicios UDP accesibles al público para sobrecargar a las víctimas con tráfico de respuesta.
La reflexión ocurre cuando un atacante forja la dirección fuente de paquetes de solicitud, fingiendo ser la víctima. Así los servidores no consiguen distinguir lo legítimo de las peticiones falsas cuando se utiliza UDP. Por lo tanto, responden directamente a la víctima. Esta técnica por tanto esconde la verdadera dirección IP del atacante tanto del sistema de la víctima como del servidor maltratado.
El otro mecanismo es la amplificación del tráfico. El objetivo del atacante es hacer que el servicio abusado produzca la mayor cantidad de datos de respuesta posible. La proporción entre los tamaños de la respuesta y la petición se llama factor de amplificación. Aquí el atacante quiere alcanzar la proporción más grande posible.
Cuando estas técnicas se utilizan repetidamente juntos, se genera un ataque. Los servidores en múltiples lugares pueden estar involucrados para producir resultados más devastadores. Es importante darse cuenta de que los servicios abusados son víctimas, así como los afectados por las inundaciones de respuesta. Estos servidores de repente tienen que tratar con cantidades grandes de peticiones que puedan evitar que sirvan para el tráfico legítimo.
¿Cuáles son los protocolos más comunes de estos abusos? Entre los más comunes están: NTP con un factor de amplificación de 557 veces, CHARGEN con un factor de 359 veces, DNS con un factor de 28 a 54 veces y SSDP con un factor de 31 a 31 veces.
¿Cómo funciona un ataque de amplificación DNS?
Un solo bot en un ataque de amplificación DNS puede ser pensado en el contexto de un adolescente malintencionado llamando a un restaurante y diciendo “Pediré uno de todo. Se me está cortando la llamada. Por favor llámame a el número X y dígame todo mi pedido “. Cuando el restaurante le pide un número de llamada, el número dado es el número de teléfono de la víctima. El objetivo (la víctima) entonces recibe una llamada del restaurante con mucha información que no ha solicitado. El resultado de que cada bot haga solicitudes para abrir las resoluciones de DNS con una dirección IP que ha sido cambiada a la dirección IP de fuente real de la víctima dirigida, el objetivo recibe una respuesta de los resolutores de DNS. Con el fin de crear una gran cantidad de tráfico, el atacante estructura la petición de una manera que genera una respuesta lo más grande posible de las resoluciones DNS.
Finalmente, el objetivo recibe una amplificación del tráfico inicial del atacante, y su red se ve obstruida con el tráfico, causando así una negación de servicio.
Esto ha sido un ejemplo imaginario, pero estos ataques son reales y están en alza nuevamente. Actualmente el uso de las tecnologías emergentes ha generado que sea aún más accesibles realizar ataques DDoS. Sin unas buenas medidas de protección y seguridad como las soluciones de redborder, cualquier empresa puede llegar a ser objetivo de estos ataques.
