BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

La configuración de los routers ADSL de Telefónica permite que sean utilizados en ataques DDoS

Joshua Llorach

La compañía Infoblox señala a Telefónica y France Telecom como los principales culpables de la proliferación de routers domésticos que trabajan como open resolvers, atendiendo peticiones de resolución DNS desde el exterior de la red local. Según el informe DNS Survey 2009, un atacante puede multiplicar por 40 su capacidad para tumbar un servidor web con la colaboración silenciosa de miles de routers ADSL domésticos.

El problema reside en el servidor DNS que llevan incorporados muchos routers ADSL. Su función es resolver las peticiones DNS que llegan desde la red local, pero algunos proveedores de Internet los dejan abiertos al exterior, de modo que también atienden una petición DNS que venga de una IP externa. Es lo que los expertos llaman un open resolver.

Una de las conclusiones del informe es que el porcentaje de servidores DNS en Internet que están configurados como open resolvers ha aumentado de un 50% a un 80% en dos años. Cricket Liu, responsable de Infoblox y autor de varios libros sobre el tema de la editorial O'Reilly, señala a los principales culpables: "The two leading culprits we found were Telefonica and France Telecom".

DNS Amplification

Las peticiones DNS se transportan habitualmente sobre UDP, un protocolo muy ligero, tanto que carece de un mecanismo de validación de la IP remitente, lo que hace que sea posible falsearla, lo que comúnmente se denomina IP spoofing. El ataque, conocido como DNS Amplificatión, consiste en enviar peticiones de resolución DNS simulando que proceden desde la IP de la victima. El servidor DNS enviará la respuesta a la IP falsa. El paquete con la solicitud es de apenas unos 100 bytes, mientras que la respuesta puede ser de hasta 4000 bytes, fragmentada en varios paquetes, lo que supone multiplicar por 40 la información enviada. Utilizando simultáneamente 1.000 routers ADSL domésticos y enviándo 1.000 peticiones por segundo simulando ser la IP de la victima, conseguiremos que esta reciba una avalancha de 32 Gbps, un ataque de denegación distribuida al que ningún servidor podrá resistirse.

Si quieres saber más: Presentación PDF con ejemplos de DNS Amplification

💬 Comentarios

1
BocaDePez
BocaDePez

El articulo es muy interesante y curioso, aunque se echa de menos un apartado en que se se indique como cambiar la configuración de los routers para quitar el problema.

🗨️ 10
Calario

supongo que eso lo tendran que contar las operadoras y explicarlo para cada tipo de router ¿no crees que seria un poco excesivo contar todos esos detalles en el articulo?

🗨️ 5
BocaDePez
BocaDePez

Supongo que cambiando las DNS del router el problema estaría resuelto, creo que por defecto vienen en localhost en mi caso (192.168.1.1), las cambie por: 80.58.61.250 i 80.58.61.254 y si no voy mal por lo que he leído en el anuncio, ya estaría resuelto ¿verdad?

🗨️ 2
jurrabi

No.

La vulnerabilidad se produce porque tu router contesta peticiones de DNS no sólo a tus pcs (red local) sino también hacia internet, interfiriendo en el funcionamiento normal de las redes de servidores DNS (si lo aprovecha un hacker).

La solución pasa supongo, y según cada router, por políticas de filtrado y bloqueo de paquetes (peticioens DNS en este caso).

No sé si te habré aclarado algo

BocaDePez
BocaDePez

hola chicos!

qual es por default el usuario y la contraseña de los router de telefoniaca?

saludos.

BocaDePez
BocaDePez

No, es lo normal. Se han contado todos los detalles para aprovecharse de la vulnerabilidad, lo suyo sería cómo prevenirlo. O acaso no se han publicado manuales para conseguir tal y cual cosa con routers de otros operadores, como por ejemplo Jazztel? Acaso en esas ocasiones no lo tenían que contar las operadoras?

🗨️ 1
Calario

¿cuantos modelos distintos de routers tiene telefonica y orange funcionando? unos cuantos ¿no? pues nada que josh se ponga manos a la obra y nos cuente como evitar el problema para cada uno de ellos

anda que

Josh

Pues es que no se si se puede, será la configuración del demonio y dudo que este muy accesible. A ver si los expertos del foro nos iluminan.

🗨️ 3
Mocho
1

Con desactivar el servidor DNS, opción que suele estar en los menús de configuración, debería bastar. Pero si lo haces hay que poner a mano los servidores dns en cada ordenador.

🗨️ 2
SuPRiMaZo

Exáctamente.

heffeque

Sasto, ahora a explicárselo a los miles y miles de clientes de Telefónica que en su mayoría tienen dicha compañía "por no complicarse la vida" por lo que sus dotes de informática y teleco no suelen ser precisamente las más avanzadas del mundo.

Albaceteman2
4

El párrafo que comenta lo del IP Spoofing, si bien correcto, es un tanto confuso en su redacción. Habría que comentar que como UDP no es orientado a conexión como TCP, no es necesario que el extremo que realiza la suplantación sea el propietario real de la IP atacada, ya que no espera recibir mensajes de control de vuelta (véase ACKs, SYNs, etc). Los términos "validación de la IP remitente" y "falsearla", en referencia a la dirección IP, me parecen un tanto ambiguos. Creo que sería más aclaratorio decir que dado que en UDP no hay paquetes de control de conexión esto facilita mucho que se pueda hacer un ataque con suplantación de dirección IP, cosa que con TCP no es posible gracias a los números de secuencia.

En UDP se manda la petición y el servidor DNS responde. En TCP hay que hacer un three way handshake que no es posible si se está haciendo IP Spoofing (ya que para completarlo el atacante tendría que hacer un ACK con el número de secuencia que le pasara el servidor DNS).

Aparte, otro apunte, en DNS si mal no creo se usa UDP en las respuestas solo si son hasta 512 bytes, por lo que entiendo que lo de hacer un ataque con una consulta que exija 4000 bytes de respuesta no es posible. En ese caso es necesario utilizar TCP, lo que impide el Spoofing de dirección IP, ya que el extremo atacado no completará nunca la conexión y no habrá envío de datos. A lo mejor es que han hecho alguna actualización del protocolo y ahora es posible, pero lo de los 4000 bytes me suena raro.

También habría que ver hasta qué punto el spoofing es posible, ya que tengo entendido que es un fenómeno bastante controlado.

🗨️ 5
Josh
3

Tu comentario lo aclara muy bien, no quería ser excesivamente técnico. Lo del límite de 512 bytes juega a favor del atacante, ya que tu petición spofeada será UDP de unos 100 bytes, pero el servidor respondera a la victima con TCP, con su handshake, varios paquetes, etc, lo que ayudará a sobrecargarlo y acelerar el DOS.

jurrabi

Da gusto entrar aquí a leer cosas... Siempre hay que pone un poquito de luz, con conocimiento de causa.

BocaDePez
BocaDePez
1

Como veo que te interesa leete el archivo donde se explica todo.

(link roto)

Y como apuntan en la noticia original, esto no es nuevo es del 2006.

🗨️ 2
BocaDePez
BocaDePez

Y lo del tamaño se explica muy bien en el articulo 1.1 DNS amplification attack

🗨️ 1
BocaDePez
BocaDePez

hola chicos!

qual es por default el usuario y la contraseña de los router de telefoniaca?

saludos.

BocaDePez
BocaDePez

Esta muy bien el articulo, aunque, como siempre es tendencioso.

Titulo en banda ancha.eu "

La configuración de los routers ADSL de Telefónica permite que sean utilizados en ataques DDoS.

Cueando lees el texo dice The two leading culprits we found were Telefonica and France Telecom.

¿quien se ha caido del titulo?

🗨️ 5
djcool

Lo siento pero este tema es un poco chorra...

Mas importante aun es:La mayoria de ISP españoles estan ofreciendo Routers Inalambricos con WIFI activado y claves WEP :D

🗨️ 4
BocaDePez
BocaDePez

Las wpa ya no son seguras, se ha encontrado un algoritmo para crackear las wpa tkip, que son las que son compatible la mayoria de dispositivos moviles que provienen del wep (es una modificación del cifrado wep).

Las únicas que se salvan son las WPA2 y WPA AES.

WEP's y WPA TKIP, son ya crackeables.

Saludos!!

🗨️ 2
BocaDePez
BocaDePez

Las wpa siguen siendo seguros. Lo que es inseguro es el tkip, lo que no es de extrañar si tenemos en cuenta que nacio como un remedio de transicion, y ahi sigue...

Usa WPAx con AES, y a correr.

Explicacion muy interesante, completa y muy maligna (jeje) por Chema Alonso: elladodelmal.com/2009/09/el-minuto-de-la-wifi.html

BocaDePez
BocaDePez

Conoces algun metodo de ataque a WPA que no sea con diccionario?

No, verdad?

Sabes por que?

Porque no es explotable en el mundo real el fallo de tkip. En el laboratorio se hacen cosas mu chulas, pero no siempre son extrapolables a la calle.

BocaDePez
BocaDePez

Pregunto: Bastaria con una regla drop a las peticiones desde wan al 53 para resolver el tema?

🗨️ 3
BocaDePez
BocaDePez

esa regla drop donde la pondrias, en el equipo que es atacado?, si es asi no sirve de nada, ya que haga lo que haga con ese paquete para llegar hasta el ya le ha gastado ancho de banda

🗨️ 2
pcmaster
1

No, en el router, para que deseche las peticiones DNS que le lleguen desde el exterior.

🗨️ 1
BocaDePez
BocaDePez

Claro. Un drop a las peticiones de WAN a mi 53 hara que mi router deje de atenderlas, no?

Fin del problema, entonces.

O no?

BocaDePez
BocaDePez

Con una regla de NAT del puerto 53 hacia una IP inexistente también se podría solucionar, ¿no?

Actualmente es lo que yo tengo hecho para el puerto 80, el 21 y el 23. Puesto que un día me di cuenta que podía entrar al router desde el exterior, aunque en la interfaz web del router le había deshabilitado la administración desde el exterior.

Un saludo

Harkonen

Prueba con una ip y funciona...

C:\Documents and Settings\harko>ping 83.38.xx.yy

Haciendo ping a 83.38.xx.yy con 32 bytes de datos:

Respuesta desde 83.38.xx.yy: bytes=32 tiempo=144ms TTL=250
Respuesta desde 83.38.xx.yy: bytes=32 tiempo=90ms TTL=250
Respuesta desde 83.38.xx.yy: bytes=32 tiempo=111ms TTL=250
Respuesta desde 83.38.xx.yy: bytes=32 tiempo=117ms TTL=250

Estadísticas de ping para 83.38.xx.yy:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 90ms, Máximo = 144ms, Media = 115ms

C:\Documents and Settings\harko>nslookup www.google.com 83.38.xx.yy
Servidor: yy.Red-83-38-xx.dynamicIP.rima-tde.net
Address: 83.38.xx.yy

Respuesta no autoritativa:
Nombre: www.l.google.com
Addresses: 209.85.229.106, 209.85.229.105, 209.85.229.99, 209.85.229.147
209.85.229.103, 209.85.229.104
Aliases: www.google.com

1