Los ataques DDoS son una de las grandes lacras en Internet y una de las maneras más efectivas que los atacantes tienen para tumbar sistemas. En la habitual carrera armamentística se está comenzando a ver un nuevo método de reflexión que permite incrementar los datos en un ataque TCP hasta un teórico 75x, hablamos del TCP Middlebox Reflection.
Llamamos Middlebox a cualquier dispositivo de red que efectúa una labor en los datagramas diferente al normal enrutamiento de los mismos. Es decir, dispositivos que inspeccionan, filtran y/o manipulan los mismos. En esta categoría encontraríamos Firewalls, DPI, etc..Cuando no hace ni un año que los investigadores publicaron este informe “Weaponizing Middleboxes for TCP Reflected Amplification” se están comenzando a ver ataques DDoS que hacen gala de esta técnica.
TCP Middlebox Reflection
Esta técnica consiste en el abuso de estos middleboxes y de sus sistemas de filtrado de contenido para lograr una reflexión y amplificación del ataque original. Simplificando mucho, pongamos el siguiente ejemplo. Tenemos una red protegida por un Firewall con inspección de paquetes y con un filtro de contenido. En esa misma red se encuentra la víctima. Un atacante para aprovechar este método lo que hace es enviar X paquetes TCP suplantando en ellos la IP de la víctima y relacionados a contenido no permitido.
Al entrar este tráfico en el firewall, debido al problema descubierto en la implementación de TCP, lo que hace este es enviar contra la víctima el tráfico correspondiente a la denegación de acceso a ese contenido no permitido. En este caso este tráfico generado por el firewall contra la víctima, según el estudio, podría incrementarse hasta en un 75x lo que permite al atacante o necesitar mucho menos ancho de banda para lanzarlo o generar ataques más devastadores.
A diferencia de los ataques DDoS más comunes que se basan en el uso de UDP, en este caso los atacantes aprovechan que estos dispositivos no consideran correctamente los flujos de TCP al aplicar sus políticas de filtrado. Lo cual permite que los atacantes envíen paquetes TCP fuera del orden lógico de comunicación y aún así los middleboxes respondan a ellos contra la IP que supuestamente está intentando hacer algo no permitido..reflejando y amplificando de esta manera un pequeño paquete malicioso o millones de ellos contra la víctima.
Como ejemplo de esto, Akamai ha difundido datos en la que ponen como ejemplo que un simple paquete SYN con un payload de 33bytes genera una respuesta de 2156bytes, ampliándola 65 veces. Este tipo de ataque se considera como la primera variante efectiva de amplificación en TCP ya que hasta ahora la relación entre el ancho de banda requerido por el atacante y el propio del ataque resultante era prácticamente 1:1
Mitigación
Para defendernos de este ataque podemos usar las mismas técnicas que para por ejemplo el ataque de desbordamiento de SYN. Como decíamos la base de este ataque a los middleboxes se basa en una falta de control en el estado de la comunicación TCP. Los paquetes SYN son usados en esta comunicación a la hora de establecer el saludo a tres bandas y solo en el primero que envía cada parte. No son usados para la transferencia de datos en sí, por lo que cualquier paquete con el flag SYN activado y que sobrepase de cierto tamaño podría ser efectivamente detectado y bloqueado.
Sistemas anti spoofing o módulos destinados a detectar paquetes fuera de orden también serán útiles para evitarlos.
