Según Prolexic (compañía dedicada a mitigar ataques de denegación de servicio), se está observando un nuevo fenómeno a la hora de realizar ataques DDoS contra servidores. Cada vez con mayor frecuencia, se están utilizando las redes P2P para realizar este tipo de fechorías, en vez del típico botnet basado en un C&C (Command and control) y esclavos "zombies".
Estos ataques ya fueron descritos por investigadores de la Polytechnic
University en Brooklyn el año pasado, pero no ha sido hasta principios
de 2007 que se han visto casos reales que han conseguido implementarlo.
En las últimas semanas, según Prolexic, está siendo cada vez más
utilizado.
Según el problema descrito por la universidad de Brooklyn, existe un
fallo asociado a las redes P2P y el protocolo que utilizan. En su
estudio en concreto, se centraban en Overnet (red anteriormente usada
por eDonkey y cerrada por la RIAA, Recording Industry Association of
America).
El problema se basa en el envenenamiento de rutas o de índices en P2P.
Un atacante podría manipular estos registros para hacer creer a los
clientes que los ficheros "populares" se encuentran en una dirección IP
y puerto concretos, que pueden ser designados por el atacante. Esta
dirección IP no tiene por qué ser participante de la red P2P ni, por
supuesto, contener el fichero que le está siendo requerido, de forma que
una petición masiva puede llegar a agotar los recursos de red de la
víctima. En la universidad de Brooklyn, creando un software cliente a
medida y redirigiendo el tráfico a uno de sus propios servidores,
pudieron comprobar lo sencillo que resultaba abrumar de tráfico un ancho
de banda gracias a peticiones de los miles de usuarios de la red.
Según Prolexic, que ha visto en las últimas semanas cómo estos estudios
teóricos se llevaban a la vida real, se han llegado a utilizar hasta
100.000 máquinas para realizar estos ataques. La ventaja frente al
botnet "tradicional" es que el atacante no tiene que comunicarse
directamente con las máquinas que controla. Si consigue modificar estos
registros en el tráfico P2P y modificar los índices, todo el tráfico de
los potenciales clientes que soliciten un fichero popular irá a parar a
un mismo sitio definido por el atacante. Se podría hablar de un
"secuestro" de la red P2P.
La implementación del protocolo en DC++ (un cliente de redes P2P de
código abierto) era vulnerable a este tipo de modificaciones. Sus
creadores han publicado una nueva versión que corrige estas deficiencias
y protege a los usuarios de este tipo de modificaciones no deseadas. Han
reconocido también que su software estaba siendo "engañado" para llevar
a cabo este tipo de ataques. Los descubridores no descartan que otras
redes P2P hereden estos problemas.
Quizás con estas nuevas técnicas de "reclutamiento de zombies" más
"cómodas" para los atacantes, la extorsión por denegación de servicio
distribuida (obligar al pago de grandes sumas para que una web "no sea
atacada") vuelva a ser "rentable". No hace mucho, Symantec hablaba de un
cierto abandono de estos métodos, pues ya no resultaba tan lucrativo
para los que controlaban las botnets como el envío de spam y la
distribución de malware.
Más información:
P2P DDoS Attacks
http://www.prolexic.com/news/20070514-alert.php
P2P Networks Hijacked for DDoS Attacks
http://news.netcraft.com/archives/2007/05/23/p2p_networks_hijacked_for_ddos_attacks.html
Exploiting P2P Systems for DDoS Attacks
http://cis.poly.edu/~ross/papers/p2pddos.pdf
DoS extortion is no longer profitable
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dos_extortion_is_no_longer_pro.html
Sergio de los Santos
[email protected] Fuente: http://www.hispasec.com/unaaldia/3134/
