Los ataques DDoS de menos de 20Mbps dejan sin servicio a los firewall

Share this…

Tras el gran ataque de denegación de servicio distribuido, o DDoS, llevado a cabo contra DynDNS hace un par de semanas, muchos piratas informáticos han empezado a interesarse de nuevo por este tipo de ataques tan peligrosos como difíciles de mitigar. Muchas empresas optan por proteger sus redes con cortafuegos empresariales especializados en estos y otros ataques de red, sin embargo, es posible que muchos modelos de firewall se queden sin servicio si se enfrentan a un nuevo tipo de ataques de bajo ancho de banda denominados como “BlackNurse”.

Existen muchos tipos de ataques DDoS diferentes en función del protocolo y las técnicas utilizadas, sin embargo, varios expertos de seguridad han llevado a cabo un estudio en el que demuestran que los ataques más peligrosos son los que se llevan a cabo a través del protocolo Internet Control Message Protocol (ICMP), aunque estos tengan un ancho de banda muy bajo, inferior incluso a 20Mbps.

Los ataques DDoS a través del protocolo ICMP se conocen también como “ataques ping flood” son los más habituales, sin embargo, dentro del protocolo ICMP hay distintos tipos y códigos. Según los expertos de seguridad, los más peligrosos son los ICMP con paquetes Type 3 Code 3.

Estos expertos de seguridad aseguran que estos ataques están enfocados a dejar sin servicio un cortafuegos en vez de a saturar la línea. Por ello, estos ataques DDoS pueden ser mortíferos incluso con un ancho de banda de 15Mbps, aunque la víctima tenga una conexión de 1Gbps.

DDoS 579 Gbps

De esta manera, cuando un pirata informático lleva a cabo un ataque DDoS del tipo BlackNurse, mientras el ataque está activo, el cortafuegos puede quedar saturado por la cantidad de tráfico a procesar, aunque el ancho de banda no sea tan elevado, e impedirá que los usuarios de la LAN se conecten a la red y que desde la WAN otros usuarios puedan conectarse al servidor.

Si el firewall se bloquea durante el ataque DDoS, no se puede establecer ninguna conexión

Cuando un pirata informático comienza a realizar un ataque DDoS de este tipo, el cortafuegos de la red de la víctima queda totalmente bloqueado al no ser capaz de procesar las conexiones y, por lo tanto, impide que se establezcan otras conexiones, ni hacia dentro ni hacia fuera. El cortafuegos quedará totalmente bloqueado hasta que los técnicos consigan mitigar el ataque o hasta que los atacantes cesen el ataque DDoS, haciendo que todo vuelva a funcionar con normalidad.

Los expertos de seguridad aseguran que estos ataques están enfocados principalmente contra los cortafuegos profesionales de Cisco ASASonicWall, aunque es muy probable que otros modelos de otros fabricantes, como Palo Alto Network, también puedan quedar sin servicio ante un ataque BlackNurse.

Firewall SonicWall

Los fabricantes de dichos firewall piensan que la causa de esto puede deberse a un problema de configuración a la hora de detectar e intentar bloquear los ataques DDoS a través del protocolo ICMP ya que, por hardware, deberían ser capaces estos modelos de mitigarlos sin problemas, y mucho más con un ancho de banda tan reducido.

Los fabricantes recomiendan bloquear por completo en los modelos los paquetes ICMP del tipo 3 y, como medida adicional, contratar un servicio anti-ddos avanzado como Akamai o CloudFlare para que el firewall controle las conexiones y el anti-ddos proteja de estos ataques informáticos tan complejos.

¿Cómo puedo verificar si soy vulnerable a este ataque Blacknurse?

La mejor forma de comprobar si somos vulnerables, es habilitar ICMP en la WAN de nuestro cortafuegos, y a continuación lanzar un Hping3 contra su dirección IP. Mientras que tengamos el ataque lanzado, debemos probar si en la LAN podemos navegar por Internet. Los comandos que debemos ejecutar son los siguientes:

1 hping3 -1 -C 3 -K 3 -i u20 <target ip>
2 hping3 -1 -C 3 -K 3 --flood <target ip>

Este grupo de trabjadores del SOC de TDC han comprobado que los Cisco ASA 5515 y 5525 son vulnerables con las opciones por defecto, también los firewall SonicWall y algunos firewall de Palo Alto Networks. También han verificado que iptables, el cortafuegos de Linux no está afectado por este problema, asimismo el firewall de los routers Mikrotik tampoco lo está.

¿Cómo puedo verificar que me están realizando un ataque Blacknurse?

Si tenemos un IDS/IPS en nuestra organización, podemos incorporar una regla para avisarnos de que estamos bajo un ataque de este tipo. Gracias a los trabajadores de TDC tenemos unas reglas para el IDS/IPS Snort que nos permite detectar justo esto:

1 alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC - Possible BlackNurse attack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)
2
3 alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC - Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

Fuente: https://www.redeszone.net/