El ataque DDoS a Spamhaus y la amenaza de los reenviadores DNS abiertos

Los ataques contra Spamhaus iniciados el pasado 19 de marzo al parecer se iniciaron por un grupo de CyberBunker que se opone al trabajo de Geneva, una organización suiza de voluntarios contra el spam. Varias empresas de seguridad describieron los ataques a la organización como el más grande DDoS nunca antes conocido (con mucho).

En los ataques DDoS, los atacantes suelen tratar de "acabar" con un servicio o una red dirigiendo grandes volúmenes de tráfico inútil. El tráfico suele ser generado utilizando grandes botnets de ordenadores comprometidos. 


En los ataques DDoS más grandes el tráfico generado suele estar entre 4 y 10 Gbps, en el ataque a Spamhaus se llegó a alcanzar asombrosamente los 300 Gbps, se dice que tres veces más que el mayor DDoS visto hasta la fecha.

Los autores detrás del ataque emplearon un método conocido pero no usado frecuentemente de reflexión y amplificación DNS para generar un flujo enorme de tráfico DDoS dirigido contra Spamhaus.


Los servidores DNS se utilizan principalmente para buscar y resolver nombres de dominio como hackplayers.com y sus correspondientes direcciones IP. Si un servidor DNS no tiene la información del dominio en su base de datos o caché consulta a otros servidores DNS cercanos.
Lo ideal sería que los servidores DNS estén configurados sólo para responder a solicitudes procedentes de dentro de un determinado dominio o de un rango de direcciones IP. Sin embargo, la realidad es que millones de servidores DNS públicos en Internet están configurados por defecto como DNS abiertos y responden a cualquiera...

Las personas detrás del ataque a Spamhaus enviaron consultas con direcciones IP de origen falsa a decenas de miles de servidores DNS abiertos (se cree que unos 100.000), haciendo parecer que las solicitudes de resolución venían de Spamhaus. Así que las respuestas a las peticiones de decenas de miles de servidores DNS fueron enviadas a Spamhaus, lo que generó un gran volumen de tráfico contra ellos. 


Además, para aumentar el volumen de tráfico, los atacantes modificaron las peticiones UDP de tal manera que cada servidor respondió con volúmenes de datos mucho mayores de lo normal. Por ejemplo, enviando peticiones recursivas a dominios "." (root hint) se generan respuestas 20 veces mayores que el paquete de solicitud inicial, irónicamente en parte debido a DNS-SEC que incluye datos que certifican la validez de los servidores DNS que responden.

Lo peor es que la solución se antoja difícil y para nada inmediata. Por ejemplo, Open DNS Resolver Project, el esfuerzo de un grupo de expertos en seguridad para arreglar esto, estima que actualmente existen 27 millones de "Open Recursive Resolvers", y 25 millones de ellos son una amenaza significativa, latente, esperando a desatar su furia de nuevo contra un nuevo objetivo...

Fuente: Spamhaus attacks expose huge open DNS server dangers

2 comentarios :

  1. Sipp, parece que estan a la orden del dia.. yo no gestiono un server DNS pero ayer a las 18:30 en el log de un ASA:
    6053 DNS all records request from 192.73.234.58 to "MI PUBLICA ;)" on interface UNTRUST
    6053 DNS all records request from 173.242.120.205 to "MI PUBLICA ;)" on interface UNTRUST
    Estas ips de "origen" pertenecen a dos hostings en USA, VOLUMEDRIVE y RAMNODE. Por la info de este post, se parece bastante...

    ResponderEliminar
  2. Mi opinión al respecto http://fantasmascol.wordpress.com/2013/04/02/169/

    ResponderEliminar