Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

Regístrate Identifícate

-156

La configuración de los routers ADSL de Telefónica permite que sean utilizados en ataques DDoS

La compañía Infoblox señala a Telefónica y France Telecom como los principales culpables de la proliferación de routers domésticos que trabajan como open resolvers, atendiendo peticiones de resolución DNS desde el exterior de la red local. Según el informe DNS Survey 2009, un atacante puede multiplicar por 40 su capacidad para tumbar un servidor web con la colaboración silenciosa de miles de routers ADSL domésticos.

El problema reside en el servidor DNS que llevan incorporados muchos routers ADSL. Su función es resolver las peticiones DNS que llegan desde la red local, pero algunos proveedores de Internet los dejan abiertos al exterior, de modo que también atienden una petición DNS que venga de una IP externa. Es lo que los expertos llaman un open resolver.

Una de las conclusiones del informe es que el porcentaje de servidores DNS en Internet que están configurados como open resolvers ha aumentado de un 50% a un 80% en dos años. Cricket Liu, responsable de Infoblox y autor de varios libros sobre el tema de la editorial O'Reilly, señala a los principales culpables: "The two leading culprits we found were Telefonica and France Telecom".

DNS Amplification

Las peticiones DNS se transportan habitualmente sobre UDP, un protocolo muy ligero, tanto que carece de un mecanismo de validación de la IP remitente, lo que hace que sea posible falsearla, lo que comúnmente se denomina IP spoofing. El ataque, conocido como DNS Amplificatión, consiste en enviar peticiones de resolución DNS simulando que proceden desde la IP de la victima. El servidor DNS enviará la respuesta a la IP falsa. El paquete con la solicitud es de apenas unos 100 bytes, mientras que la respuesta puede ser de hasta 4000 bytes, fragmentada en varios paquetes, lo que supone multiplicar por 40 la información enviada. Utilizando simultáneamente 1.000 routers ADSL domésticos y enviándo 1.000 peticiones por segundo simulando ser la IP de la victima, conseguiremos que esta reciba una avalancha de 32 Gbps, un ataque de denegación distribuida al que ningún servidor podrá resistirse.

Si quieres saber más: Presentación PDF con ejemplos de DNS Amplification

  • Boca de Pez Boca de Pez
    6

    El articulo es muy interesante y curioso, aunque se echa de…

    El articulo es muy interesante y curioso, aunque se echa de menos un apartado en que se se indique como cambiar la configuración de los routers para quitar el problema.

    • supongo que eso lo tendran que contar las operadoras y…

      supongo que eso lo tendran que contar las operadoras y explicarlo para cada tipo de router ¿no crees que seria un poco excesivo contar todos esos detalles en el articulo?

      • Boca de Pez Boca de Pez
        6

        Supongo que cambiando las DNS del router el problema estaría…

        Supongo que cambiando las DNS del router el problema estaría resuelto, creo que por defecto vienen en localhost en mi caso (192.168.1.1), las cambie por: 80.58.61.250 i 80.58.61.254 y si no voy mal por lo que he leído en el anuncio, ya estaría resuelto ¿verdad?

        • No. La vulnerabilidad se produce porque tu router contesta…

          No.

          La vulnerabilidad se produce porque tu router contesta peticiones de DNS no sólo a tus pcs (red local) sino también hacia internet, interfiriendo en el funcionamiento normal de las redes de servidores DNS (si lo aprovecha un hacker).

          La solución pasa supongo, y según cada router, por políticas de filtrado y bloqueo de paquetes (peticioens DNS en este caso).

          No sé si te habré aclarado algo

        • Boca de Pez Boca de Pez
          6
          hola chicos! qual es por default el usuario y la contraseña…

          hola chicos!

          qual es por default el usuario y la contraseña de los router de telefoniaca?

          saludos.

      • Boca de Pez Boca de Pez
        6

        No, es lo normal. Se han contado todos los detalles para…

        No, es lo normal. Se han contado todos los detalles para aprovecharse de la vulnerabilidad, lo suyo sería cómo prevenirlo. O acaso no se han publicado manuales para conseguir tal y cual cosa con routers de otros operadores, como por ejemplo Jazztel? Acaso en esas ocasiones no lo tenían que contar las operadoras?

        • ¿cuantos modelos distintos de routers tiene telefonica y…

          ¿cuantos modelos distintos de routers tiene telefonica y orange funcionando? unos cuantos ¿no? pues nada que josh se ponga manos a la obra y nos cuente como evitar el problema para cada uno de ellos

          anda que

      • 12

        Con desactivar el servidor DNS, opción que suele estar en los…

        Con desactivar el servidor DNS, opción que suele estar en los menús de configuración, debería bastar. Pero si lo haces hay que poner a mano los servidores dns en cada ordenador.

        • Sasto, ahora a explicárselo a los miles y miles de clientes…

          Sasto, ahora a explicárselo a los miles y miles de clientes de Telefónica que en su mayoría tienen dicha compañía "por no complicarse la vida" por lo que sus dotes de informática y teleco no suelen ser precisamente las más avanzadas del mundo.

  • El párrafo que comenta lo del IP Spoofing, si bien correcto,…

    El párrafo que comenta lo del IP Spoofing, si bien correcto, es un tanto confuso en su redacción. Habría que comentar que como UDP no es orientado a conexión como TCP, no es necesario que el extremo que realiza la suplantación sea el propietario real de la IP atacada, ya que no espera recibir mensajes de control de vuelta (véase ACKs, SYNs, etc). Los términos "validación de la IP remitente" y "falsearla", en referencia a la dirección IP, me parecen un tanto ambiguos. Creo que sería más aclaratorio decir que dado que en UDP no hay paquetes de control de conexión esto facilita mucho que se pueda hacer un ataque con suplantación de dirección IP, cosa que con TCP no es posible gracias a los números de secuencia.

    En UDP se manda la petición y el servidor DNS responde. En TCP hay que hacer un three way handshake que no es posible si se está haciendo IP Spoofing (ya que para completarlo el atacante tendría que hacer un ACK con el número de secuencia que le pasara el servidor DNS).

    Aparte, otro apunte, en DNS si mal no creo se usa UDP en las respuestas solo si son hasta 512 bytes, por lo que entiendo que lo de hacer un ataque con una consulta que exija 4000 bytes de respuesta no es posible. En ese caso es necesario utilizar TCP, lo que impide el Spoofing de dirección IP, ya que el extremo atacado no completará nunca la conexión y no habrá envío de datos. A lo mejor es que han hecho alguna actualización del protocolo y ahora es posible, pero lo de los 4000 bytes me suena raro.

    También habría que ver hasta qué punto el spoofing es posible, ya que tengo entendido que es un fenómeno bastante controlado.

    • 24

      Tu comentario lo aclara muy bien, no quería ser excesivamente…

      Tu comentario lo aclara muy bien, no quería ser excesivamente técnico. Lo del límite de 512 bytes juega a favor del atacante, ya que tu petición spofeada será UDP de unos 100 bytes, pero el servidor respondera a la victima con TCP, con su handshake, varios paquetes, etc, lo que ayudará a sobrecargarlo y acelerar el DOS.

    • Da gusto entrar aquí a leer cosas... Siempre hay que pone un…

      Da gusto entrar aquí a leer cosas... Siempre hay que pone un poquito de luz, con conocimiento de causa.

        • Boca de Pez Boca de Pez
          6
          hola chicos! qual es por default el usuario y la contraseña…

          hola chicos!

          qual es por default el usuario y la contraseña de los router de telefoniaca?

          saludos.

  • Boca de Pez Boca de Pez
    6

    Esta muy bien el articulo, aunque, como siempre es…

    Esta muy bien el articulo, aunque, como siempre es tendencioso.

    Titulo en banda ancha.eu "

    La configuración de los routers ADSL de Telefónica permite que sean utilizados en ataques DDoS.

    Cueando lees el texo dice The two leading culprits we found were Telefonica and France Telecom.

    ¿quien se ha caido del titulo?

    • Lo siento pero este tema es un poco chorra... Mas importante…

      Lo siento pero este tema es un poco chorra...

      Mas importante aun es:La mayoria de ISP españoles estan ofreciendo Routers Inalambricos con WIFI activado y claves WEP :D

    • Boca de Pez Boca de Pez
      6

      esa regla drop donde la pondrias, en el equipo que es…

      esa regla drop donde la pondrias, en el equipo que es atacado?, si es asi no sirve de nada, ya que haga lo que haga con ese paquete para llegar hasta el ya le ha gastado ancho de banda

  • Boca de Pez Boca de Pez
    6

    Con una regla de NAT del puerto 53 hacia una IP inexistente…

    Con una regla de NAT del puerto 53 hacia una IP inexistente también se podría solucionar, ¿no?

    Actualmente es lo que yo tengo hecho para el puerto 80, el 21 y el 23. Puesto que un día me di cuenta que podía entrar al router desde el exterior, aunque en la interfaz web del router le había deshabilitado la administración desde el exterior.

    Un saludo

  • Prueba con una ip y funciona... C:\Documents and…

    Prueba con una ip y funciona...

    C:\Documents and Settings\harko>ping 83.38.xx.yy

    Haciendo ping a 83.38.xx.yy con 32 bytes de datos:

    Respuesta desde 83.38.xx.yy: bytes=32 tiempo=144ms TTL=250
    Respuesta desde 83.38.xx.yy: bytes=32 tiempo=90ms TTL=250
    Respuesta desde 83.38.xx.yy: bytes=32 tiempo=111ms TTL=250
    Respuesta desde 83.38.xx.yy: bytes=32 tiempo=117ms TTL=250

    Estadísticas de ping para 83.38.xx.yy:
    Paquetes: enviados = 4, recibidos = 4, perdidos = 0
    (0% perdidos),
    Tiempos aproximados de ida y vuelta en milisegundos:
    Mínimo = 90ms, Máximo = 144ms, Media = 115ms

    C:\Documents and Settings\harko>nslookup www.google.com 83.38.xx.yy
    Servidor: yy.Red-83-38-xx.dynamicIP.rima-tde.net
    Address: 83.38.xx.yy

    Respuesta no autoritativa:
    Nombre: www.l.google.com
    Addresses: 209.85.229.106, 209.85.229.105, 209.85.229.99, 209.85.229.147
    209.85.229.103, 209.85.229.104
    Aliases: www.google.com