BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Operation Global Blackout intentará tumbar los servidores DNS raíz para producir un apagón en la red

Joshua Llorach

El próximo 31 de marzo es la fecha fecha fijada para la Operation Global Blackout, un ataque coordinado supuestamente por Anonymous, que pretende apagar la red al dejar fuera de juego a los servidores DNS maestros que sustentan los nombre de dominios en Internet. Se trata de un objetivo muy difícil, dada su arquitectura distribuida.

La función de estos servidores es servir de fuente primaria para que el resto de DNS de resolución, como los que mantienen los ISP para sus clientes, puedan consultar y actualizar su caché con la correspondencia entre nombres de dominio y direcciones IP.

Las instrucciones del ataque firmado por Anonymous se detallan en un pastebin que lista sus 13 direcciones IP. En el se asegura que han desarrollado una herramienta denominada Reflective DNS Amplification DDoS, capaz de saturar un servidor a base de peticiones de resolución. El nombre del comando a ejecutar tanto en Windows como en Linux es ramp.

El ataque se basa en mandar peticiones a servidores DNS públicos con determinada vulnerabilidad. Estas peticiones tendrán falseada la dirección IP de origen, gracias a que el protocolo DNS utiliza transporte UDP en el que resulta más fácil hacer spoofing. La IP falsa corresponderá a uno de los 13 servidores raíz, de forma que cuando el servidor DNS vulnerable responda, estará enviando paquetes a los root servers. Puesto que el tamaño de una petición DNS es mucho más pequeño que el de su respuesta, los promotores esperan conseguir un efecto de amplificación, de forma que ocupando un pequeño ancho de banda hacia el servidor DNS vulnerable, se genere gran cantidad de tráfico hacia los root servers.

13 servidores replicados por todo el planeta

El principal obstáculo que se encontrará la operación Global Blackout es que cada IP de los 13 servidores raíz está respaldada, gracias al direccionamiento anycast, por numerosos servidores distribuidos globalmente, de forma que no son uno sino varios los equipos que deberán saturarse para conseguir el efecto deseado.

Por ejemplo, el registro regional para Europa, RIPE, mantiene el servidor raíz K, con entre 10 y 15 mil peticiones por segundo, que son gestionadas por 18 instancias repartidas por varios continentes que además son capaces de repartirse la carga dinámicamente entre ellas en función de los recursos de cada una. Esto supone que el ataque distribuido de Anonymous se dirige contra un objetivo que también es distribuido, lo que hace que sea muy complicado dejar fuera de juego a está infraestructura básica para el funcionamiento de la red.

Actualizado