Feudo de sitios porno genera nuevos ataques DNS

Una chatarra entre dos sitios web pornográficos se volvió desagradable cuando uno descubrió cómo derribar al otro explotando una peculiaridad previamente desconocida en el Sistema de Nombres de Dominio (DNS) de Internet.

El ataque se conoce como Amplificación DNS. Se ha utilizado esporádicamente desde diciembre, pero comenzó a hablarse el mes pasado cuando ISPrime, un pequeño proveedor de servicios de Internet de Nueva York, comenzó a recibir un duro golpe con lo que se conoce como un ataque de denegación de servicio distribuido (DDOS). El ataque fue lanzado por el operador de un sitio web pornográfico que estaba tratando de cerrar un competidor, alojado en la red de ISPrime, según Phil Rosenthal, director de tecnología de la compañía.

El ataque a ISPrime comenzó en la mañana del domingo, 18 de enero. Duró alrededor de un día, pero lo notable fue que una cantidad relativamente pequeña de computadoras generaron una gran cantidad de tráfico en la red.

[Más información: las mejores cajas de NAS para transmisión de medios y copia de seguridad]

Un día después, siguió un ataque similar, que duró tres días. Antes de que ISPrime pudiera filtrar el tráfico no deseado, los atacantes podían usar hasta 5GB / segundo del ancho de banda de la compañía,

Con un poco de trabajo, el personal de Rosenthal podía filtrar el tráfico hostil, pero en una e- entrevista por correo dijo que el ataque "representa una tendencia inquietante en la sofisticación de los ataques de denegación de servicio".

Según Don Jackson, director de inteligencia de amenazas en el proveedor de seguridad SecureWorks, pronto veremos mucho más de estos amplificadores DNS ataques. A fines de la semana pasada, los operadores de botnets, que alquilaban sus redes de computadoras pirateadas al mejor postor, comenzaron a agregar herramientas de amplificación de DNS personalizadas a sus redes.

"Todo el mundo lo recogió ahora", dijo. "El próximo gran DDOS en alguna ex república soviética, verá esto mencionado, estoy seguro."

Una de las cosas que hace que un ataque de amplificación de DNS sea particularmente repugnante es el hecho de que al enviar un paquete muy pequeño a un servidor DNS legítimo, digamos 17 bytes, el atacante puede engañar al servidor para que envíe un paquete mucho más grande, unos 500 bytes, a la víctima del ataque. Al suplantar la fuente del paquete, el atacante puede dirigirlo a partes específicas de la red de su víctima.

Jackson estima que el ataque de 5GB / segundo contra ISPrime se logró con solo 2,000 computadoras, que enviaron paquetes falsificados a miles de servidores de nombres, todos los cuales comenzaron a inundar la red ISPrime. Rosenthal de ISPrime dice que cerca de 750,000 servidores DNS legítimos fueron utilizados en el ataque a su red.

A principios de esta semana, SecureWorks produjo un análisis técnico del ataque de Amplificación DNS.

El ataque está generando mucha discusión entre los expertos en DNS, según Duane Wessels, gerente de programa de DNS-OARC (Centro de Análisis e Investigación de Operaciones), con sede en Redwood City, California.

"La preocupación es que este tipo de ataque podría usarse en objetivos más destacados". dijo.

Una de las cosas que hace que el ataque sea especialmente desagradable es que es muy difícil protegerse.

"Hasta donde yo sé, la única defensa real que tienes es pedirle a tu proveedor de aguas arriba que filtre [el tráfico malicioso] ", dijo. "No es algo que la víctima pueda hacer por sí misma. Necesita la cooperación del proveedor".

El sistema DNS, una especie de servicio de asistencia de directorio para Internet, ha sido objeto de un mayor escrutinio durante el año pasado, cuando el hacker Dan Kaminsky descubrió un defecto grave en el sistema. Esa falla, que ahora ha sido reparada por los creadores del software DNS, podría aprovecharse para redirigir silenciosamente el tráfico de Internet a computadoras maliciosas sin que la víctima lo sepa.

DNS-OARC publicó información sobre cómo evitar que los servidores BIND DNS sean utilizados en uno de estos ataques. Microsoft no pudo proporcionar inmediatamente información sobre cómo mitigar este ataque en particular en sus propios productos, pero su orientación sobre la implementación de servidores DNS seguros se puede encontrar aquí.