Un nuevo metodo de ataque DDOS “TCP Middlebox Reflection” esta derrumbando paginas web en todo el mundo. Por Gerardo J Gil Dams

0
643

Informes se seguridad indican que piratas informáticos a nivel mundial están comenzando a utilizar el metodo TCP Middlebox Reflection como componente de los ataques DDoS mas importantes reportados hasta la fecha. Los ataques DDoS también se conocen como ataques de denegación de servicio. TCP MiddleBox Reflection es una técnica de amplificación especializada que los especialistas en análisis forense digital no habían detectado hasta hace unos meses. El aumento de esta tecnica de amplificación se está poniendo en practica por grupos de hackers aproximadamente medio año después de que los especialistas en seguridad digital lo presentaran inicialmente como un posible método de ataque.

¿Pero de qué se trata en realidad este nuevo metodo de ataque Ddos Middlebox Reflection?

Segun los investigadores de Akamai, el ataque TCP Middlebox Reflection aprovecha los cortafuegos susceptibles junto con los sistemas utilizados para el filtrado de contenido para mejorar el tráfico TCP a los servidores que son objetivos. El resultado final de esta estrategia es un ataque DDoS muy potente.

El ataque TCP Middlebox Reflection es problemático ya que facilita que los ataques DDoS causen estragos. La parte que lleva a cabo la ofensiva digital necesita solo el 2% o incluso menos del ancho de banda que normalmente sería necesario para lanzar dicho ataque. La técnica también se utiliza como componente de un ataque DRDoS, abreviatura de denegación de servicio reflexiva distribuida.

Los ataques DRDoS usan servidores UDP disponibles para el público junto con factores para la amplificación del ancho de banda. Este enfoque bombardea el sistema de destino con una avalancha de respuestas UDP, lo que crea una avalancha de solicitudes NTP con una dirección IP de origen falsa que se centra en el objetivo. El resultado es que el servidor de destino devuelve respuestas al host en la dirección falsa con una amplificación que elimina el ancho de banda, lo que finalmente dificulta que la computadora afectada funcione como debería.

El objetivo general del ataque es aprovechar los middleboxes utilizados para aplicar el filtrado y la censura de contenido a través de paquetes TCP cuidadosamente diseñados que catalizan una respuesta masiva. Como por  ejemplo, uno de los ataques recientes que contenía una carga útil de 33 bytes provocó una respuesta de más de 2150 bytes, creando una respuesta de amplificación superior al 6500 %

Cuando se descubren nuevos metodos de ataque, siempre es dudoso si los atacantes comenzarán a aprovecharlos y cuándo. El ataque de caja intermedia siguió siendo teórico durante mucho más tiempo de lo que anticipamos inicialmente, y pasaron meses antes de que lo viéramos realmente aprovechado en la naturaleza.

Ahora que TCP Middlebox Reflection ha sido probado y verificado en redes del mundo real, es probable que la adopción de atacantes continúe. También es probable que los atacantes intenten mejorar y expandir las capacidades del ataque y el impacto general.

El objetivo del Equipo de respuesta de inteligencia de seguridad de Akamai es rastrear, descubrir, documentar y publicar nuevos descubrimientos para proteger la seguridad y la estabilidad de Internet en su conjunto. Aseguran que continuaran monitoreando estos ataques.

https://www.usenix.org/system/files/sec21fall-bock.pdf