ake78 (3D & photo) - Fotolia
¿Cómo identificar tráfico de ataques DDoS en la red empresarial?
Un experto explicó, durante el primer día de actividades de LACNOG 2023, cómo se puede detectar tráfico de ataques de denegación de servicio y compartió algunas herramientas que pueden ayudar a esta tarea.
Fortaleza, Brasil. – En el marco del evento LACNIC 40, que se realiza esta semana en una playa del norte de Brasil, se llevan a cabo sesiones de trabajo del Grupo de Operadores de Red de América Latina y el Caribe (LACNOG).
Destaca entre las ponencias de LACNOG 2023 la conferencia de Rich Compton, miembro del Grupo de Trabajo Anti Abuso (LAC-AAWG), quien habló vía remota sobre cómo identificar el tráfico correspondiente a ataques de denegación de servicio (DDoS) desde direcciones suplantadas en la red.
Rich Compton es un experto en detección y mitigación de ataques DDoS, control de botnets, seguridad BGP y es el responsible de mantener a salvo la infraestructura de red de Charter Communications, donde trabaja actualmente.
Durante su presentación, Compton explicó que los amplificadores más comunes UDP DDoS incluyen ataques al DNS, NTP, WS-Discovery, LDAP, Apple Remote Desktop, Multicast DNS (mDNS), y los servidores Plex, entre otros. También se han visto amplificadores SYN/ACK y PSH y RST.
De acuerdo con el experto, un nuevo tipo de ataque que se ha visto recientemente es TCP Middlebox Amplification, aunque opinó que esta amenaza realmente debería llamarse HTTP Middlebox Amplification, ya que funciona mediante ataques a los middleboxes en la red, enviando grandes cantidades de tráfico HTTP para que pierdan algunos paquetes, y después inyectando tráfico para bloquear las conexiones. Usualmente se usa contenido con material pornográfico, explicó Compton.
¿Por qué es un problema? De acuerdo con el conferencista, cuando los clientes que tienen un amplificador abierto experimentan una velocidad de internet lenta, suelen comunicarse con el servicio de soporte, pero, si no se detecta la actividad inusual, se les sugerirá contratar mayor ancho de banda, lo cual no soluciona el problema y a veces puede afectar el ancho de banda que se debería destinar a otros clientes.
“Cada día se agregan nuevos dispositivos vulnerables a las redes. No se puede conseguir que todos arreglen sus dispositivos. Y aun si el problema se soluciona para 99% de los dispositivos, ese 1% restante seguirá siendo un problema”, comentó Compton.
¿Cómo identificar estos ataques?
El ingeniero de redes de Charter Communications explicó que la forma más fácil de identificar esta actividad irregular es es revisar si los puertos 80 o 443 y el puerto Destino funcionan como un amplificador abierto bajo 1023. “Es importante no permitir falsos positivos”, recalcó.
Para ayudar en la tarea, Compton mencionó algunas herramientas de utilidad. Por ejemplo, la organización sin fines de lucro Shadowserver proporciona un reporte gratuito diario sobre los amplificadores abiertos que se encuentran en una red vía API; y también enlista el factor de amplificación para que los usuarios puedan asignarle una prioridad al reporte.
El proveedor CableLabs tiene un proyecto que ofrece una lista de IPs fuente en su red que son la fuente del tráfico DDoS. Ese listado puede consultarse gratuitamente.
El conferencista también ofreció información sobre un proyecto que él lidera, Tattle Tale, en Github.
Posteriormente, realizó una demo sobre el uso de las herramientas sugeridas, e incluyó sugerencias como Source Address Validation y un servicio de reporteo de spoofing de CAIDA.
Sin embargo, agregó, no todo son malas noticias, pues, de acuerdo con Netscout, el tráfico de ataques de amplificación de DDoS están a la baja.
¿Qué sigue? Compton recomienda que más ISPs y proveedores de intercambio de internet (IXPs) revisen sus puertos y su tráfico, para que puedan bloquearlo oportunamente, y de esta forma minimizar el impacto para los usuarios finales.
