Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

DrDoS: características y funcionamiento

Fecha de publicación 22/04/2021
Autor
INCIBE (INCIBE)
DrDoS: características y funcionamiento

Evolución histórica

Los ataques de Denegación de Servicio (DoS, Denial of Service) surgieron con el objetivo de inhabilitar una red, un sistema o una aplicación, impidiendo que los usuarios pudieran hacer uso de esos sistemas.

Para llevarlos a cabo, los atacantes pueden provocar un fallo mediante la explotación de alguna vulnerabilidad del sistema, algo que no siempre es factible, ya que estas suelen ser corregidas mediante actualizaciones o es necesario encontrarse en la misma red. Por esta razón, la alternativa más asequible para los atacantes es colapsar los recursos del sistema, exigiendo una carga de trabajo superior a la capacidad del proceso, algo viable en la mayoría de los sistemas con presencia en Internet.

Realizar esta acción de estas características desde un único equipo es complicado, por lo que surgió la variante de ataque Denegación de Servicio Distribuida (DDoS, Distributed Denial of Service) que consiste en lanzar las peticiones desde una red de ordenadores constituida por un gran número de equipos sobre los que previamente se ha tomado el control (botnet).

Este tipo de redes  puede ser monetizado como un servicio del tipo CaaS (Crime a as Service), es decir, la red de equipos bajo control se vende o alquila a un tercero, para que este sea quién los utilice en sus ataques.

Ante la utilización de algunos protocolos que no se diseñaron teniendo en cuenta la seguridad y este tipo de ataques, surgió la Denegación de Servicio Distribuido Reflejado (DrDoS, Distributed Reflection/Reflective Denial of Service) que rápidamente se ha extrapolado a otros entornos. Además, el aumento del número de dispositivos de IoT, representa nuevas posibilidades, ya que podrían ser comprometidos y comportarse como un elemento más de una botnet.

Funcionamiento DrDos

En esta variante, los atacantes, no se conforman con lanzar un gran volumen de peticiones a sus objetivos, sino que buscan que los paquetes de petición o acceso al servicio que se desea utilizar como base para el ataque sean originados con un pequeño tamaño para generar el mayor número posible de ellos.

Adicionalmente, se apoyan en un sistema intermedio que incrementa el tamaño y complejidad de los paquetes de respuesta, según la petición. Estas respuestas son redirigidas hacia el sistema objeto del ataque, sustituyendo la dirección IP real de origen por la del sistema que se quiere atacar. De esta forma, un paquete con petición de servicio lanzado por el atacante con un tamaño de pocos KB o incluso de Bytes, a través de un sistema intermedio denominado ‘amplificador’, se convierte en un paquete de respuesta que se redirige al sistema objetivo del ataque con un tamaño significativamente mayor, lo que se conoce como factor de amplificación o factor multiplicador.

En los ataques DrDoS conocidos y documentados, este factor de amplificación puede variar entre 3,8, como en ataques DrDoS basados en el protocolo NetBIOS, hasta llegar a un multiplicador de 51.000, como se produce en los basados en la vulnerabilidad de Memcached, es decir, un paquete generado por el atacante de pocos KiloBytes llega al sistema atacado con un tamaño multiplicado por 3,8 y hasta por 51.000, según la técnica y protocolo utilizado.

Aunque el ataque provoca un gran impacto en los sistemas atacados, su eficacia se ve afectada por el tiempo necesario para generar las peticiones desde un solo equipo, por mínimo que sea el paquete de petición en origen, ya que el objetivo puede tener capacidad para asumir un incremento de peticiones sostenido. Además, los administradores del sistema atacado pueden identificar la fuente origen del ataque y bloquearla.

Para evitar esto, los atacantes recurren a lanzar las peticiones originales, no desde un equipo, sino desde decenas o miles de ellos, a través de redes botnet bajo su control y utilizando no un único sistema intermedio amplificador, sino muchos de ellos. Esta combinación da lugar a un ataque mucho más difícil de contrarrestar.

Esquema de funcionamiento DrDoS

- Figura 1. Esquema de funcionamiento DrDoS. -

Los diferentes ataques DrDos suelen tomar como base los diferentes servicios y protocolos que utilizan el protocolo UDP (User Data Protocol). Este protocolo no establece una conexión de extremo a extremo, es decir, la comunicación se lleva a cabo desde el origen al destino, sin verificar la disponibilidad, ni el estado del receptor, gracias a la información de las cabeceras de los paquetes como, por ejemplo la dirección IP de origen. No obstante, esta dirección puede ser modificada para que el destinatario piense que procede de otra fuente, que recibiría así la respuesta. Esta técnica es conocida como spoofing.

El protocolo requiere que el receptor devuelva una respuesta a la dirección IP de origen, por lo que si la dirección ha sido modificada en los paquetes UDP, los paquetes de respuesta llegarán a la dirección IP indicada por el atacante. Un elevado número de estas respuestas provocaría la sobrecarga de la víctima.

Esta circunstancia no se produce cuando la petición de servicios se realiza por TCP, en donde es imprescindible establecer un canal de conexión entre emisor y servidor para que se pueda prestar el servicio.

Como hemos visto, este tipo de ataques puede afectarnos de diferentes formas:

  • Que nuestros sistemas se conviertan en una posible víctima del ataque.
  • Que nuestros sistemas actúen como participantes involuntarios de un ataque perpetrado contra un tercero.
  • Que nuestros sistemas queden inutilizados porque su participación en un ataque de estas características contra un tercero genere en ellos una denegación de servicio.

Consecuencias y motivación

En cualquiera de los escenarios anteriores, el impacto del ataque será directamente proporcional a las funciones que realicen los equipos afectados y al tiempo de inutilización de los mismos. Hay que tener en cuenta que, si bien la mayoría de los ataques son de corta duración, minutos u horas, hay casos documentados en los que la inutilización de servicios ha durado varios días.

A las consecuencias económicas causadas por estos ataques, se suma el daño reputacional, debido a la pérdida de confianza y credibilidad de clientes y otros interesados. La inutilización de los sistemas, aunque sea por un breve período de tiempo, también puede suponer pérdida de datos de negocio y graves complicaciones en sus operaciones, al no poder acceder a información crítica para su desarrollo.

Las motivaciones de los ciberdelincuentes para lanzar este tipo de ataques son diversas. Aunque puede tratarse de simple vandalismo, habitualmente suele estar motivada por venganza, obtención de algún beneficio económico a través de la extorsión y chantaje, provocar pérdidas económicas a la víctima, guerras comerciales o para captar la atención pública sobre una determinada causa social o política.

Defensa

Debido a las características de este tipo de ataque, cualquier sistema con presencia en Internet es susceptible de convertirse en un objetivo potencial. La defensa ante ellos dependerá de la combinación de su dimensionamiento para asumir los picos de carga de proceso y de las medidas de seguridad implementadas para contrarrestar la sobrecarga de peticiones de servicio que reciban.

Por otra parte, para evitar que los sistemas propios se conviertan en un reflector, la defensa está en relación directa con la configuración de estos sistemas, la frecuencia con la que se aplican las actualizaciones para corregir vulnerabilidades, su exposición en Internet y las medidas de protección complementarias que disponga.

Los proveedores de servicios de Internet cobran especial relevancia y protagonismo frente a este riesgo, ya que cuentan con los mecanismos necesarios para detectarlos, principalmente identificando paquetes suplantados (spoofing), bloqueando el tráfico dañino o, en su defecto, diluirlo por su infraestructura para que no lleguen a impactar en los sistemas finales de sus clientes. Además, los proveedores de servicios de Internet son una parte interesada para reducir la probabilidad de esta amenaza, ya que, aunque no sean el objetivo último de los ataques de denegación de servicio, el compromiso con sus clientes a través de los acuerdos de niveles de servicio repercuten directamente sobre sus resultados económicos y reputacionales.

Por otra parte, debido a las características de ejecución de estos ataques, la identificación y persecución de sus instigadores se hace complicado en la mayoría de los casos, al actuar a través de sistemas interpuestos, redes botnet y  equipos reflectores, y desde diferentes zonas geográficas.

En próximos blogs se hará una descripción detallada de los ataques DrDoS basados en diferentes protocolos (DNS, NTP, TFTP, mDNS, LDAP, Memcached, CharGEN, PortMapper, NetBIOS, SSDP, QOTD, SNMP y ARD), proporcionando recomendaciones sobre cómo prevenirlos y detectarlos, así como pautas para establecer protocolos de actuación en caso de resultar víctima de su acción.