Los atacantes utilizan las características UPnP para hacer que los ataques DDoS sean más difíciles de reconocer


Los investigadores de seguridad están observando continuamente los ataques DDoS que utilizan las características UPnP de los enrutadores domésticos para modificar los paquetes de red y hacer que los ataques DDoS sean más difíciles de reconocer y aliviar con las soluciones clásicas.Investigadores de Imperva detallaron el primer método de enmascaramiento de puertos UPnP, una nueva técnica, hace un mes.

El personal de Imperva anunció qu algunas botnets DDoS habían comenzado a utilizar el protocolo UPnP que se encuentra en los enrutadores domésticos para saltear el tráfico DDoS del enrutador, pero cambiar el puerto de origen del tráfico a un número arbitrario.

Al cambiar el puerto de origen, los sistemas de mitigación de DDoS más experimentados que dependían de examinar detenidamente estos datos para atacar de forma cuadrada los ataques comenzaron a fallar a la izquierda y a la derecha, lo que permitió que los ataques DDoS alcanzaran sus objetivos previstos.

Los nuevos sistemas de mitigación DDoS que dependen de la inspección profunda de paquetes son aptos para identificar este tipo de ataques que utilizan puertos fuente aleatorios, sin embargo, estos también son más costosos fiscalmente para los usuarios y además trabajan más lento, tomando más tiempo para distinguir y detener ataques.Los investigadores de Imperva, en mayo, dijeron que habían visto botnets ejecutando ataques DDoS a través de los protocolos DNS y NTP, pero utilizando UPnP para camuflar el tráfico como proveniente de puertos irregulares, y no el puerto 53 (DNS) o el puerto 123 ( NTP).En aquellos días, Bleeping Computer había previsto que la estrategia sería más frecuente entre los creadores de botnets.

Este sentimiento resultó ser cierto ayer cuando en un informe de Arbor Networks, la organización escribió sobre la observación de ataques comparativos DDoS que utilizaban el protocolo UPnP, pero esta vez el procedimiento fue utilizado para enmascarar los ataques DDoS basados ​​en SSDP.Los ataques SSDP DDoS que se habrían moderado de manera efectiva mediante el bloqueo de los paquetes que venían del puerto 1900 eran más difíciles de detectar ya que la mayoría del tráfico se originó en puertos aleatorios en lugar de solo uno.

Esta técnica de enmascaramiento de puertos basada en UPnP obviamente se está extendiendo entre los administradores de DDoS, y los proveedores de mitigación de DDoS tendrán que modificar la posibilidad de que necesiten permanecer en el negocio, mientras que las organizaciones deberían poner en revisión los valores en caso de que necesiten permanecer arriba. agua en medio de estos nuevos tipos de ataques DDoS mortales.

Seguir en twitter: @disoftin

Publicar un comentario

0 Comentarios