Blogia

Los routers ADSL de Telefónica permite que sean utilizados en ataques DDoS

Los routers ADSL de Telefónica permite que sean utilizados en ataques DDoS

La compañía Infoblox señala a Telefónica y France Telecom como los principales culpables de la proliferación de routers domésticos que trabajan como open resolvers, atendiendo peticiones de resolución DNS desde el exterior de la red local. Según el informe DNS Survey 2009, un atacante puede multiplicar por 40 su capacidad para tumbar un servidor web con la colaboración silenciosa de miles de routers ADSL domésticos.

El problema reside en el servidor DNS que llevan incorporados muchos routers ADSL. Su función es resolver las peticiones DNS que llegan desde la red local, pero algunos proveedores de Internet los dejan abiertos al exterior, de modo que también atienden una petición DNS que venga de una IP externa. Es lo que los expertos llaman un open resolver.

Una de las conclusiones del informe es que el porcentaje de servidores DNS en Internet que están configurados como open resolvers ha aumentado de un 50% a un 80% en dos años. Cricket Liu, responsable de Infoblox y autor de varios libros sobre el tema de la editorial O’Reilly, señala a los principales culpables: "The two leading culprits we found were Telefonica and France Telecom".

DNS Amplification

Las peticiones DNS se transportan habitualmente sobre UDP, un protocolo muy ligero, tanto que carece de un mecanismo de validación de la IP remitente, lo que hace que sea posible falsearla, lo que comúnmente se denomina IP spoofing. El ataque, conocido como DNS Amplificatión, consiste en enviar peticiones de resolución DNS simulando que proceden desde la IP de la victima. El servidor DNS enviará la respuesta a la IP falsa. El paquete con la solicitud es de apenas unos 100 bytes, mientras que la respuesta puede ser de hasta 4000 bytes, fragmentada en varios paquetes, lo que supone multiplicar por 40 la información enviada. Utilizando simultáneamente 1.000 routers ADSL domésticos y enviándo 1.000 peticiones por segundo simulando ser la IP de la victima, conseguiremos que esta reciba una avalancha de 32 Gbps, un ataque de denegación distribuida al que ningún servidor podrá resistirse.

Si quieres saber más: Presentación PDF con ejemplos de DNS Amplification

0 comentarios