• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Ataques de denegación de servicio usando servidores NTP

Ataques de denegación de servicio usando servidores NTP

10 enero, 2014 Por Hispasec Deja un comentario

El pasado diciembre tuvieron lugar diversos ataques distribuidos de denegación de servicio sobre redes de servidores de juegos. Entre ellas, Steam, Origin o Battle.com. Al parecer los ataques fueron atribuidos al grupo DERP Trolling. Al margen de las causas políticas lo interesante es qué usaron para generar el tráfico que provocó el corte o degradación temporal del servicio.
Como sabemos, hay diversos tipos o técnicas de denegación de servicio. Desde un simple paquete modificado para generar un desbordamiento en la pila y desestabilizar el proceso, hasta la generación de un gran volumen de tráfico desde múltiples direcciones que termine por agotar los recursos de los servidores atacados. El ataque ha empleado una técnica de generación de tráfico conocida pero sobre un actor diferente.
Desde hace tiempo uno de los ataques de denegación de servicio más interesantes es la amplificación de respuestas DNS. Esta técnica aprovecha varios factores para generar un tráfico no solicitado de una manera «lícita«, es decir, no se aprovecha de la infección de máquinas sino de la falta o descuido de configuración de los servidores DNS de terceros.
Basta hacer un escaneo aleatorio sobre el puerto 53 para detectar servidores DNS y una pequeña prueba para determinar que esos servidores DNS responden o generan una consulta recursiva sobre dominios de terceros. Una consulta sobre un dominio puede generar una respuesta hasta 50 veces mayor que la petición. Es decir, inviertes 10 bytes en una petición y el servidor podría devolverte hasta 500 bytes. Ya tienes la generación de tráfico.
El protocolo DNS funciona sobre el protocolo de transporte UDP que como sabemos no está orientado a conexión y por lo tanto prescinde de lo que se denomina «handshake«. Es decir, no necesita confirmación del otro extremo para iniciar una conversación con más detalles. Con UDP pides y te sirven. Esto es importante ya si construimos una petición UDP pero cambiamos el campo origen a otra IP que no sea la nuestra el servidor responderá a esa otra IP.
Ya tenemos dos factores. Podemos generar tráfico gracias al ratio 1:50 petición/respuesta y también podemos falsear la dirección de origen  gracias a UDP. El siguiente factor es encontrar servidores DNS abiertos o que permitan consultas recursivas sobre dominios de terceros. Con un buen grupo de estos servidores y otro grupo que genere las peticiones se tiene la tormenta perfecta para dirigir ese tráfico al objetivo.
¿Qué ha cambiado en este ataque?
Que no se han usado servidores DNS para amplificar las respuestas. En vez de ello los atacantes han usado servidores NTP (Network Time Protocol).
NTP es un protocolo usado principalmente para sincronizar los relojes del sistema operativo. Podemos leer sobre el en las siguientes RFC: http://www.ntp.org/rfc.html.
Los servidores NTP escuchan en el puerto 123 UDP y por cada petición, por ejemplo, de 8 bytes pueden llegar a generar una respuesta hasta casi 60 veces mayor. Pero esta respuesta no es la habitual de un servidor NTP sino que es una característica del protocolo que ahora ha sido parcheada para evitar este tipo de ataques. Curiosamente en la lista de desarrollo de NTP la debilidad ya aparecía en 2010. Por cierto, incluso tiene un CVE asociado, el CVE-2013-5211 y está corregida en la versión 4.2.7 del servidor NTP.
http://bugs.ntp.org/show_bug.cgi?id=1532
Es posible efectuar una petición al servidor NTP para obtener una lista con información de peticiones a modo de registro, una lista denominada Monitor data. Incluso existe un script para nmap que encuentra servidores NTP con esta característica (http://nmap.org/nsedoc/scripts/ntp-monlist.html).  Gracias a esto es posible amplificar la respuesta.
Aunque no es habitual, es posible encontrar organizaciones que usen servidores NTP sobre Internet para sincronizar redes en diferentes localizaciones. Si no es el caso sería recomendable filtrar el tráfico entrante del puerto 123 UDP y por supuesto si se usan servidores NTP actualizar a la versión corregida.
Sobre los servidores DNS abiertos la verdad merece una entrega aparte. Es una constante en nuestras auditorías de seguridad, encontrar un DNS (¡o varios!) de la organización publicado hacia Internet y que permite a terceros su uso sobre cualquier dominio de manera recursiva. Incluso es complicado hacer entender al administrador como eso puede ser usado en contra de la organización para la que trabaja.
Hemos de entender que cuando una víctima recibe tráfico DNS el paquete UDP lleva como origen la IP de nuestra organización, por lo que podemos vernos en la tesitura de tener que responder ante un escenario donde nuestro servidor DNS ha sido usado para un ataque DDoS.
David García
dgarcia@hispasec.com
Twitter: @dgn1729

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR