El protocolo TFTP es un nuevo vector de ataque que se puede utilizar para realizar DDoS amplificados

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Los ataques de denegaci√≥n de servicio distribuido (DDoS) se pueden hacer a√ļn m√°s potentes si se usan t√©cnicas de amplificaci√≥n. Estas t√©cnicas consisten b√°sicamente en explotar un fallo de configuraci√≥n de un protocolo para reenviar una gran cantidad de tr√°fico al objetivo. Algunos protocolos como el DNS o NTP son ampliamente usados para la realizaci√≥n de este tipo de ataques en los √ļltimos a√Īos, sin embargo, ahora se ha descubierto que el protocolo TFTP puede ser utilizado de una forma similar.

¬ŅQu√© es el protocolo TFTP?

El protocolo TFTP es el llamado protocolo de transferencia de archivos trivial, o trivial file transfer Protocol en inglés. Este protocolo de la capa de aplicación utiliza el protocolo UDP en la capa de transporte a través del puerto 69 de manera predeterminada. Es una versión muy básica del protocolo FTP ya que no puede listar el contenido de los directorios ni tampoco existen mecanismos de autenticación o cifrado.

La principal funcionalidad de este protocolo es el intercambio de archivos pero de una manera muy b√°sica, lo podemos usar para transferir archivos peque√Īos entre ordenadores de una red, pero normalmente el protocolo TFTP se utiliza para cargar firmwares a los routers de manera local o remota. Un claro ejemplo de uso es por ejemplo Cisco, que lo usa para enviar las im√°genes del sistema operativo de los tel√©fonos VoIP, tambi√©n lo utilizan para proporcionar un almacenamiento centralizado de estas im√°genes. Otro uso de este protocolo es por ejemplo en el arranque PXE de muchas m√°quinas.

Un ataque DDoS atravesando un firewall

TFTP como vector para realizar ataques DDoS amplificados

Unos investigadores de la Universidad Napier de Edimburgo han descubierto que el protocolo TFTP podr√≠a ser usado de una manera similar a los protocolos DNS y NTP anteriormente. A diferencia de DNS y NTP, este protocolo TFTP no tiene por qu√© ser visible en los sistemas expuestos a Internet, sin embargo, estos investigadores han realizado un escaneo de puertos de manera global a miles de IP y los resultados indican que hay m√°s medio mill√≥n de servidores TFTP abiertos al p√ļblico.

Adem√°s de haber una gran cantidad de estos servidores TFTP abiertos, se ha descubierto que el factor de amplificaci√≥n es mayor que el de otros protocolos de Internet. Seg√ļn los investigadores, si se realizara un ataque de amplificaci√≥n TFTP el tr√°fico que se puede generar ser√≠a de hasta 60 veces la cantidad original enviada. Otro detalle muy importante de esta investigaci√≥n es que los distintos softwares de TFTP retransmiten autom√°ticamente el mismo mensaje hasta seis veces, por lo que contribuye a√ļn m√°s a la amplificaci√≥n.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone
Tags: