Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

-156

La configuración de los routers ADSL de Telefónica permite que sean utilizados en ataques DDoS

La compañía Infoblox señala a Telefónica y France Telecom como los principales culpables de la proliferación de routers domésticos que trabajan como open resolvers, atendiendo peticiones de resolución DNS desde el exterior de la red local. Según el informe DNS Survey 2009, un atacante puede multiplicar por 40 su capacidad para tumbar un servidor web con la colaboración silenciosa de miles de routers ADSL domésticos.

El problema reside en el servidor DNS que llevan incorporados muchos routers ADSL. Su función es resolver las peticiones DNS que llegan desde la red local, pero algunos proveedores de Internet los dejan abiertos al exterior, de modo que también atienden una petición DNS que venga de una IP externa. Es lo que los expertos llaman un open resolver.

Una de las conclusiones del informe es que el porcentaje de servidores DNS en Internet que están configurados como open resolvers ha aumentado de un 50% a un 80% en dos años. Cricket Liu, responsable de Infoblox y autor de varios libros sobre el tema de la editorial O'Reilly, señala a los principales culpables: "The two leading culprits we found were Telefonica and France Telecom".

DNS Amplification

Las peticiones DNS se transportan habitualmente sobre UDP, un protocolo muy ligero, tanto que carece de un mecanismo de validación de la IP remitente, lo que hace que sea posible falsearla, lo que comúnmente se denomina IP spoofing. El ataque, conocido como DNS Amplificatión, consiste en enviar peticiones de resolución DNS simulando que proceden desde la IP de la victima. El servidor DNS enviará la respuesta a la IP falsa. El paquete con la solicitud es de apenas unos 100 bytes, mientras que la respuesta puede ser de hasta 4000 bytes, fragmentada en varios paquetes, lo que supone multiplicar por 40 la información enviada. Utilizando simultáneamente 1.000 routers ADSL domésticos y enviándo 1.000 peticiones por segundo simulando ser la IP de la victima, conseguiremos que esta reciba una avalancha de 32 Gbps, un ataque de denegación distribuida al que ningún servidor podrá resistirse.

Si quieres saber más: Presentación PDF con ejemplos de DNS Amplification

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • El párrafo que comenta lo del IP Spoofing, si bien correcto,…

    El párrafo que comenta lo del IP Spoofing, si bien correcto, es un tanto confuso en su redacción. Habría que comentar que como UDP no es orientado a conexión como TCP, no es necesario que el extremo que realiza la suplantación sea el propietario real de la IP atacada, ya que no espera recibir mensajes de control de vuelta (véase ACKs, SYNs, etc). Los términos "validación de la IP remitente" y "falsearla", en referencia a la dirección IP, me parecen un tanto ambiguos. Creo que sería más aclaratorio decir que dado que en UDP no hay paquetes de control de conexión esto facilita mucho que se pueda hacer un ataque con suplantación de dirección IP, cosa que con TCP no es posible gracias a los números de secuencia.

    En UDP se manda la petición y el servidor DNS responde. En TCP hay que hacer un three way handshake que no es posible si se está haciendo IP Spoofing (ya que para completarlo el atacante tendría que hacer un ACK con el número de secuencia que le pasara el servidor DNS).

    Aparte, otro apunte, en DNS si mal no creo se usa UDP en las respuestas solo si son hasta 512 bytes, por lo que entiendo que lo de hacer un ataque con una consulta que exija 4000 bytes de respuesta no es posible. En ese caso es necesario utilizar TCP, lo que impide el Spoofing de dirección IP, ya que el extremo atacado no completará nunca la conexión y no habrá envío de datos. A lo mejor es que han hecho alguna actualización del protocolo y ahora es posible, pero lo de los 4000 bytes me suena raro.

    También habría que ver hasta qué punto el spoofing es posible, ya que tengo entendido que es un fenómeno bastante controlado.

  • BocaDePez BocaDePez
    6

    El articulo es muy interesante y curioso, aunque se echa de…

    El articulo es muy interesante y curioso, aunque se echa de menos un apartado en que se se indique como cambiar la configuración de los routers para quitar el problema.

    • 6

      Pues es que no se si se puede, será la configuración del…

      Pues es que no se si se puede, será la configuración del demonio y dudo que este muy accesible. A ver si los expertos del foro nos iluminan.

      • BocaDePez BocaDePez
        6

        No, es lo normal. Se han contado todos los detalles para…

        No, es lo normal. Se han contado todos los detalles para aprovecharse de la vulnerabilidad, lo suyo sería cómo prevenirlo. O acaso no se han publicado manuales para conseguir tal y cual cosa con routers de otros operadores, como por ejemplo Jazztel? Acaso en esas ocasiones no lo tenían que contar las operadoras?

        • ¿cuantos modelos distintos de routers tiene telefonica y…

          ¿cuantos modelos distintos de routers tiene telefonica y orange funcionando? unos cuantos ¿no? pues nada que josh se ponga manos a la obra y nos cuente como evitar el problema para cada uno de ellos

          anda que

      • BocaDePez BocaDePez
        6

        Supongo que cambiando las DNS del router el problema estaría…

        Supongo que cambiando las DNS del router el problema estaría resuelto, creo que por defecto vienen en localhost en mi caso (192.168.1.1), las cambie por: 80.58.61.250 i 80.58.61.254 y si no voy mal por lo que he leído en el anuncio, ya estaría resuelto ¿verdad?

        • BocaDePez BocaDePez
          6
          hola chicos! qual es por default el usuario y la contraseña…

          hola chicos!

          qual es por default el usuario y la contraseña de los router de telefoniaca?

          saludos.

        • No. La vulnerabilidad se produce porque tu router contesta…

          No.

          La vulnerabilidad se produce porque tu router contesta peticiones de DNS no sólo a tus pcs (red local) sino también hacia internet, interfiriendo en el funcionamiento normal de las redes de servidores DNS (si lo aprovecha un hacker).

          La solución pasa supongo, y según cada router, por políticas de filtrado y bloqueo de paquetes (peticioens DNS en este caso).

          No sé si te habré aclarado algo

  • BocaDePez BocaDePez
    6

    Esta muy bien el articulo, aunque, como siempre es…

    Esta muy bien el articulo, aunque, como siempre es tendencioso.

    Titulo en banda ancha.eu "

    La configuración de los routers ADSL de Telefónica permite que sean utilizados en ataques DDoS.

    Cueando lees el texo dice The two leading culprits we found were Telefonica and France Telecom.

    ¿quien se ha caido del titulo?

  • Prueba con una ip y funciona... C:\Documents and…

    Prueba con una ip y funciona...

    C:\Documents and Settings\harko>ping 83.38.xx.yy

    Haciendo ping a 83.38.xx.yy con 32 bytes de datos:

    Respuesta desde 83.38.xx.yy: bytes=32 tiempo=144ms TTL=250
    Respuesta desde 83.38.xx.yy: bytes=32 tiempo=90ms TTL=250
    Respuesta desde 83.38.xx.yy: bytes=32 tiempo=111ms TTL=250
    Respuesta desde 83.38.xx.yy: bytes=32 tiempo=117ms TTL=250

    Estadísticas de ping para 83.38.xx.yy:
    Paquetes: enviados = 4, recibidos = 4, perdidos = 0
    (0% perdidos),
    Tiempos aproximados de ida y vuelta en milisegundos:
    Mínimo = 90ms, Máximo = 144ms, Media = 115ms

    C:\Documents and Settings\harko>nslookup www.google.com 83.38.xx.yy
    Servidor: yy.Red-83-38-xx.dynamicIP.rima-tde.net
    Address: 83.38.xx.yy

    Respuesta no autoritativa:
    Nombre: www.l.google.com
    Addresses: 209.85.229.106, 209.85.229.105, 209.85.229.99, 209.85.229.147
    209.85.229.103, 209.85.229.104
    Aliases: www.google.com

  • BocaDePez BocaDePez
    6

    Con una regla de NAT del puerto 53 hacia una IP inexistente…

    Con una regla de NAT del puerto 53 hacia una IP inexistente también se podría solucionar, ¿no?

    Actualmente es lo que yo tengo hecho para el puerto 80, el 21 y el 23. Puesto que un día me di cuenta que podía entrar al router desde el exterior, aunque en la interfaz web del router le había deshabilitado la administración desde el exterior.

    Un saludo

1