En meses recientes, la compañía Akamai ha observado distintos ataques de reflexión DDoS: reflexión con servidor de nombres NetBIOS, reflexión con portmap RPC y reflexión Sentinel.

En un ataque de reflexión DDoS, también llamado ataque DrDoS, hay tres tipos de participantes: el atacante, servidores víctimas que actúan como cómplices involuntarios, y la víctima directa del atacante. El atacante manda una simple consulta a un servicio en un host víctima. El atacante falsifica (spoofing) una consulta (query) cambiándola de forma que parece provenir del objetivo. La víctima responde con una dirección falsa, mandando tráfico de red no deseado al objetivo de la víctima. 

Los atacantes eligen ataques de reflexión DDoS donde la respuesta de la víctima es mucho mayor que la consulta del atacante, amplificando así las capacidades del atacante. El atacante manda cientos o miles de consultas a grandes velocidades a una larga lista de víctimas gracias a la automatización del proceso con una herramienta de ataque, lo que desata un flujo de tráfico de red no deseado y una denegación de servicio a la víctima objetivo. 

"A pesar de que los ataques de reflexión DDoS son comunes, estos tres vectores de ataques abusan de los diferentes servicios que hemos visto antes y como tal demuestran que los atacantes están probando la implacabilidad del Internet para descubrir nuevos recursos que aprovechar," dijo Suart Scholley, vicepresidente senior y gerente de la Unidad de Seguridad de Negocio de la empresa Akamai. "Parece que no hay servicio de UDP que esté a salvo de ataques DDoS, por lo que los administradores de servidores tienen que detener servicios innecesarios o protegerlos de ataques de reflexión maliciosos. El volumen total de los servicios UDP abiertos a Internet vulnerables a ataques de reflexión DDoS es asombroso."

Las herramientas de ataques para cada uno de los nuevos ataques de reflexión están relacionadas, todas son modificaciones del mismo código en C. Cada vector de ataque requiere la misma receta básica, un script que envía una falsa solicitud a una lista de víctimas. Las opciones de línea de comandos son similares.

Ataque de reflexión con servidor de nombres NetBIOS

El ataque de reflexión DDoS de NetBIOS, específicamente reflexión con servidor de nombres NetBIOS (NBNS), fue observado por Akamai como algo que ocurrió esporádicamente de marzo a julio de 2015. El propósito principal de NetBIOS es permitir la comunicación entre aplicaciones de equipos separados y establecer sesiones para acceder a recursos compartidos. El factor de amplificación de tráfico de respuestas enviadas a la víctima en este tipo de ataque es 2.56 a 3.85 veces más grande que con las consultas iniciales.

Reflexión con portmap RPC

El primer ataque de este tipo fue observado y mitigado por Akamai en agosto de 2015 en una campaña de ataques DDoS. RPC portmap, también conocido como port mapper, le dice a un cliente cómo llamar a una versión en particular del servicio Open Network Computing Remote Procedure Call (ONC RPC). El factor de amplificación de respuestas es de 50.53.

Reflexión Sentinel

El primer ataque de reflexión Sentinel DDoS fue observado en junio 2015 en la Universidad de Estocolmo y se identificó como una vulnerabilidad en el servidor para licencias SPSS, un paquete de software estadístico. Akamai mitigó dos campañas de reflexión Sentinel DDoS en septiembre 2015. La fuente de los ataques incluyen poderosos servidores con alta disponibilidad de ancho de banda, como los servidores de la universidad. El factor de amplificación es de 42.94, sin embargo sólo se han identificado 745 fuentes únicas de este ataque. 

Mitigación de ataques DDoS y hardening a sistemas

Para los tres tipos de vectores de ataque, el filtrado ascendente (Upstream filtering, método donde un ISP coloca una lista de control -AC- en el upstream del router del cliente para acortar el tiempo de respuesta) puede ser usado para mitigar ataques DDoS donde sea posible, de lo contrario sería necesario un proveedor de servicios de mitigación de DDoS basado en la nube. El aviso de la amenaza provee una regla de mitigación de Snort (IDS opensource) para detectar consultas maliciosas generadas por la herramienta de ataque de RPC portmap. Reglas similares pueden ser usadas para detectar el servicio Sentinel.

"Para los tres servicios, los administradores deben preguntarse si el servicio necesita ser expuesto a cualquiera en Internet," dijo Sholly. "Para NetBIOS, la respuesta es probablemente no. Para las otras dos la respuesta es quizás sí, y la cuestión se convierte en cómo protegerlos. El tráfico RPC y Sentinel puede ser monitoreado con un sistema de detección a intrusos."