Los atacantes pueden armar firewalls y Middleboxes para ataques DDoS intensificados

Las debilidades en la implementación de TCP en los middleboxes y la infraestructura de censura podrían usarse como un vector para organizar ataques de amplificación de denegación de servicio reflejada (DoS) contra cualquier objetivo, superando así muchos factores de amplificación basados ​​en UDP existentes.

Los ataques de volumen, descritos en detalle por un grupo de académicos de la Universidad de Maryland y la Universidad de Colorado Boulder en el Simposio de Seguridad de USENIX, aprovechan los middleboxes de red que no cumplen con TCP, como firewalls, sistemas de prevención de intrusiones y deep paquetes cajas de inspección (DPI) – para amplificar el tráfico de red con cientos de miles de direcciones IP que ofrecen factores de amplificación más allá de los de DNS, NTP y Memcached.

La investigación del Distinguished Paper Award es la primera de su tipo en describir la técnica de realizar ataques de rebote basados ​​en DDoS sobre TCP mediante la explotación de configuraciones incorrectas de middlebox en la naturaleza, un método previamente considerado efectivo para prevenir tales ataques. ataques de suplantación de identidad.

Los ataques de amplificación reflejada son un tipo de ataque DoS en el que un adversario explota la naturaleza inconsistente de UDP con solicitudes falsas de servidores abiertos configurados incorrectamente para inundar el servidor o la red de destino con una avalancha de paquetes, lo que hace que el servidor y la infraestructura que lo rodea se vean comprometidos. o se vuelve inaccesible. Esto generalmente ocurre cuando la respuesta de un servicio vulnerable es mayor que una solicitud falsa, que luego se puede usar para enviar miles de esas solicitudes, lo que aumenta considerablemente el tamaño y el ancho de banda emitido al objetivo.

Si bien las amplificaciones de DoS se basan tradicionalmente en UDP debido a las complicaciones de un protocolo de enlace TCP de tres vías para configurar una conexión TCP/IP a través de una red basada en IP (SYN, SYN + ACK y ACK), los investigadores han descubierto que las cajas intermedias de la red no se ajustan al estándar TCP y pueden falsificar solicitudes censuradas por sitios de bloques grandes, incluso si no hay una conexión TCP o un protocolo de enlace válidos ”, lo que hace que los dispositivos sean objetivos atractivos para los ataques mejorados por DoS.

«Las cajas intermedias a menudo no se ajustan a TCP por diseño: muchas cajas intermedias intentan hacerlo [to] manejar el enrutamiento asimétrico, donde el middlebox solo puede ver una dirección de los paquetes en la conexión (por ejemplo, cliente-servidor), «dijeron los investigadores. Apretón de manos de tres vías del lado TCP y convencer al middlebox de que hay una conexión válida».

En otras palabras, el mecanismo depende de engañar al middlebox para que ingrese una respuesta sin completar un apretón de manos de tres vías, y luego lo usa para acceder a un dominio prohibido, como sitios de pornografía, apuestas y uso compartido de archivos, lo que hace que el middlebox responda. con una página bloqueada. que sería mucho mayor que los requisitos censurados, lo que conduciría a la intensificación.

Además, estas respuestas reforzadas no solo provienen principalmente de las cajas intermedias, sino que algunos de estos dispositivos de monitoreo de red son herramientas de censura nacional, lo que enfatiza el papel que desempeña dicha infraestructura al permitir que los gobiernos supriman el acceso a la información dentro de sus fronteras, y peor , permite a los enemigos armar dispositivos de red para atacar a cualquier víctima en Internet.

«La infraestructura de censura nacional está ubicada en los proveedores de servicios de Internet de alta velocidad y puede enviar y cargar datos con un ancho de banda increíblemente alto», dijeron los investigadores. “Esto permite que un atacante amplifique mayores volúmenes de tráfico sin preocuparse por la saturación del amplificador. En segundo lugar, la gran cantidad de direcciones IP de origen que se pueden usar para desencadenar ataques de amplificador dificulta que las víctimas simplemente bloqueen un puñado de focos dentro de su país. a un amplificador de potencial».

«Middleboxes son una amenaza inesperada, aún sin explotar, que los atacantes podrían usar para lanzar fuertes ataques DoS», agregaron los investigadores. «Proteger Internet de estas amenazas requerirá los esfuerzos concertados de muchos fabricantes y operadores de middlebox».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática