Un grupo de investigadores ha descubierto un nuevo sistema de ataque DDoS, muy potente. Con este tipo de ataque se podría llegar a utilizar una flota de más de 100.000 servidores mal configurados, que entre todos pueden amplificar las oleadas de datos basura que se envían como peticiones a los sistemas atacados hasta niveles impensables. En muchos casos, los ataques con este sistema podrían derivar en un bucle infinito de enrutado que ocasione un flujo de tráfico que se puede perpetuar en el tiempo.
El ataque utiliza un tipo concreto de servidores, conocidos como middlebox o caja intermedia, que son los que estarían mal configurados y repartidos por la red. Los middleboxes los despliegan generalmente países, como China, con el objetivo de censurar el contenido restringido. También las grandes entidades para bloquear sitios que impulsan pornografía, apuestas y descargas pirata.
Los servidores que podrían utilizarse en estos ataques no siguen las especificaciones del protocolo de control de transmisiones. Este, antes de que se autorice el establecimiento de una conexión, requiere una comprobación (handshake) triple, compuesta por un paquete SYN enviados por el cliente, una respuesta de SYN+ACK del servidor y una confirmación mediante un paquete ACK del cliente. esta comprobación limita la posibilidad de que la app basada en TCP se utilice como amplificador, porque la confirmación ACK debe venir de la compañía con la que se quiere establecer la conexión. En este caso, no sería así, porque los servidores mal configurados envían los paquetes sin que el destinatario pase por esta comprobación.
El pasado mes de agosto, varios investigadores de las Universidades de Maryland y de Boulder en Colorado publicaron una investigación teórica que demostraba que hay cientos de miles de estos servidores que tenían potencial para emitir, por este sistema, los ataques de DDoS más grandes vistos jamás.
Además, en estos casos, los atacantes aumentarían la potencia de sus ataques, al mismo tiempo que ahorran recursos, a través de vectores de amplificación, falseando la IP del objetivo y enviando un paquete relativamente pequeño de datos a un servidor mal configurado empleado para la resolución de nombres de dominio, la sincronización de relojes de ordenador o el acelerado del cacheo de bases de datos. Dado que las respuestas que envían los servidores son docenas, cientos o miles de veces mayores que la petición, la respuesta desborda al objetivo atacado.
Según los investigadores, al menos 100.000 de los servidores que habían identificado como mal configurados y se utilizaban como middlebox superaban los factores de amplificación de los servidores DNS (en unas 54 veces más) y de los servidores NTP (nada menos que unas 556 veces más). Además, identificaron cientos de servidores que amplificaban el tráfico más todavía que los servidores mal configurados. Lo hacían a través de memcached, un sistema de bases de datos de caché para la aceleración de webs que puede aumentar el volumen de tráfico nada menos que por 51.000.
En el momento de la investigación no había evidencia de ataques de amplificación DDoS con middleboxes utilizados de manera activa, pero los descubridores del sistema de ataque aseguraron que era cuestión de tiempo que comenzasen a utilizarse. Y al parecer, ese día ha llegado. Desde hace unos días, según Akamai, han comenzado a detectar múltiples ataques DDoS que empleaban middleboxes justo de la manera que habían previsto los investigadores.
Estos ataques tuvieron picos de 11 Gbps, con envíos de hasta 1,5 millones de paquetes por segundo. Son más pequeños que otros ataques DDOS de gran tamaño, pero los investigadores esperan que los ataques vayan aumentando en envergadura a medida que los atacantes optimicen sus acciones e identifiquen más servidores mal configurados que utilizar y que pueden utilizar para sus fines. Para hacernos una idea de cómo podría ser, en estos ataques detectados, todavía pequeños, uno de los servidores empleado como middlebox recibió un paquete SYN con una carga de 33 bytes y respondió con una de 2.156 bytes: 65 veces más. Y la amplificación tiene potencial todavía para ser mayor con más trabajo previo.
Otro middlebox localizado por Akamai respondía a paquetes SYN con múltiples paquetes SYN lanzados por él y por motivos desconocidos. Estos paquetes estaban cargados de datos. Además, el servidor ignoraba completamente los paquetes RST, que se supone que dan por terminada una conexión, del objetivo. Y es preocupante que el equipo de investigadores ha descubierto también que algunos servidores empleados como middlebox responderán cuando reciban cualquier paquete adicional, incluyendo los RST, lo que crea una tormenta infinita de paquetes.
Por desgracia no hay ningún método que puedan utilizar los usuarios finales para bloquear la amplificación DDoS que se utiliza en este caso. Entre lo que puede hacerse para evitar este tipo de ataques es conseguir que los operadores de estos servidores reconfiguren sus máquinas, lo que en muchos casos es poco probable que suceda, al menos a corto plazo.
