Todos los ataques de amplificación explotan una disparidad en el consumo de ancho de banda entre un atacante y el recurso web objetivo. Cuando la disparidad en el coste se amplifica a través de muchas peticiones, el volumen de tráfico resultante puede perturbar la infraestructura de la red. Al enviar pequeñas consultas que dan lugar a grandes respuestas, el usuario malicioso es capaz de obtener más con menos.
Al multiplicar este aumento haciendo que cada bot de una red de bots haga peticiones similares, el atacante se ve ofuscado para no ser detectado y se beneficia de un gran aumento del tráfico de ataque.
Para entender el papel de un bot en un ataque de amplificación de DNS, pensemos en un adolescente con malas intenciones que llama a un restaurante, pide todo lo que incluye el menú y solicita al establecimiento que le vuelvan a llamar para que le repitan todo el pedido». Cuando el restaurante le pide el número de teléfono, el adolescente facilita el número de la víctima, quien recibe entonces una llamada del restaurante con mucha información que no solicitó.
Como resultado de que cada bot hace peticiones a los resolvedores DNS abiertos con una dirección IP falsa, que ha sido cambiada por la dirección IP de origen real de la víctima objetivo, el objetivo recibe entonces una respuesta de los resolvedores DNS. Para crear una gran cantidad de tráfico, el atacante estructura la solicitud de manera que genere una respuesta lo más grande posible de los resolutores DNS. Como resultado, el objetivo recibe una amplificación del tráfico inicial del atacante, y su red se obstruye con el tráfico espurio, causando una denegación de servicio.
Una amplificación de DNS se puede dividir en cuatro pasos:
- El atacante utiliza un punto de conexión en riesgo para enviar paquetes UDP con direcciones IP falsificadas a un recursor de DNS. La dirección falsificada en los paquetes señala a la dirección IP real de la víctima.
- Cada uno de los paquetes UDP realiza una solicitud a un solucionador de DNS, que a menudo aprueba un argumento como «CUALQUIERA» para recibir la respuesta más extensa posible.
- Después de recibir las solicitudes, el solucionador de DNS, que intenta ser útil respondiendo, envía una respuesta extensa a la dirección IP falsificada.
- La dirección IP del servidor recibe la respuesta y la infraestructura de red asociada se ve inundada por una avalancha de tráfico, con la consiguiente denegación de servicio.
Aunque unas cuantas solicitudes no son suficientes para interrumpir la infraestructura de red, cuando esta secuencia se multiplica a través de varias solicitudes y solucionadores de DNS, la amplificación de los datos que recibe el objetivo puede ser sustancial. Más información sobre los detalles técnicos de los ataques de reflexión.
¿Cómo se mitiga un ataque de amplificación de DNS?
Para un individuo o una empresa que gestiona un sitio web o un servicio, las opciones de mitigación son limitadas. Esto se debe al hecho de que el servidor del individuo, aunque puede ser el objetivo, no es donde se siente el efecto principal de un ataque volumétrico. Debido a la gran cantidad de tráfico generado, la infraestructura que rodea al servidor siente el impacto. El proveedor de servicios de Internet (ISP) u otros proveedores de infraestructura ascendente pueden no ser capaces de manejar el tráfico entrante sin verse abrumados. Como resultado, el ISP puede bloquear todo el tráfico hacia la dirección IP de la víctima, protegiéndose a sí mismo y dejando el sitio web del objetivo fuera de línea.
Reduce el número total de solucionadores DNS abiertos
Un componente esencial de los ataques de amplificación de DNS es el acceso a resolvedores de DNS abiertos. Al tener resolutores DNS mal configurados y expuestos a Internet, todo lo que un atacante necesita hacer para utilizar un resolutor DNS es descubrirlo. Idealmente, los resolutores DNS sólo deberían proporcionar sus servicios a los dispositivos que se originan dentro de un dominio de confianza. En el caso de los ataques basados en la reflexión, los resolvedores de DNS abiertos responderán a las consultas de cualquier lugar de Internet, lo que permite el potencial de explotación. Restringir un resolvedor DNS para que sólo responda a las consultas de fuentes de confianza hace que el servidor sea un mal vehículo para cualquier tipo de ataque de amplificación.
Verifica la IP de origen. Evita que los paquetes falsificados salgan de la red
Dado que las peticiones UDP enviadas por la red de bots del atacante deben tener una dirección IP de origen falsificada a la dirección IP de la víctima, un componente clave para reducir la eficacia de los ataques de amplificación basados en UDP es que los proveedores de servicios de Internet (ISP) rechacen cualquier tráfico interno con direcciones IP falsificadas. Si un paquete se envía desde el interior de la red con una dirección de origen que hace que parezca que se originó fuera de la red, es probable que sea un paquete falsificado y puede ser descartado. Cloudflare recomienda encarecidamente que todos los proveedores implementen el filtrado de entrada y, en ocasiones, se pondrá en contacto con los proveedores de servicios de Internet que estén participando en ataques DDoS sin saberlo y les ayudará a darse cuenta de su vulnerabilidad.
Espero que les guste el Post y les sirva de ayuda.