Los routers también pueden participar en ataques DDoS

Los routers también pueden participar en ataques DDoS

Escrito por: Manu Mateos    17 noviembre 2009    2 minutos

No es nuevo, pero siempre conviene estar atentos a la seguridad de, en éste caso, nuestras redes. Existe una vulnerabilidad en el servidor DNS de millones de routers (como muchos de los distribuidos por Telefónica de España o France Telecom) que los vuelve disponibles para participar en botnets y así contribuir en ataques DDoS.

Los números que se manejan hablan de un incremento del 4000% en la viralidad de los ataques de denegación de servicio que podría ejecutar un cracker con malas intenciones; con una colaboración, además, completamente silenciosa para el usuario.

El fallo es que muchos routers actúan como servidor DNS no sólo para los equipos de la red local, sino para cualquier equipo de Internet, actuando como «open resolvers«. Las solicitudes DNS utilizan un protocolo llamado UDP (que a muchos les sonará al haber abierto puertos para eMule o similares), el cual es tan ligero que ni siquiera valida la IP remitente, siendo bastante sencillo falsearla. A ésto se le llama IP Spoofing. La petición utiliza unos 100 bytes, mientras que la respuesta del servidor es 40 veces mayor.

Imaginad que alguien con malas intenciones falsea la IP, apuntando la de alguno de los servidores donde se aloja BlogdeBlogs. Con ‘apenas’ 1000 routers utilizados en una botnet, cada router enviando a la IP del servidor en cuestión 4000 bytes (además vía protocolo TCP, no UDP) por cada respuesta y con una frecuencia de mil peticiones por segundo conseguiremos enviar al servidor ‘apenas’ un tráfico de 32Gbps. Algo suficiente para tumbar la mayoría de servidores Web.

¿La solución? Desactivar el servidor DNS del router (en la mayoría de menúes de configuración se permite hacerlo), lo cual requerirá configurar manualmente nuestra red en el ordenador (introduciendo unos servidores personalizados).

Via | BandaAncha

Reportajes