Ataque DDoS de amplificación de NTP

Un ataque DDoS volumétrico que aprovecha una vulnerabilidad en el protocolo NTP, con el objetivo de sobrecargar un servidor con tráfico UDP.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque DDoS de amplificación NTP
  • Explicar cómo funciona un ataque de amplificación NTP
  • Conocer varias estrategias de mitigación para este tipo de ataque DDoS

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es un ataque de amplificación NTP?

Un ataque de amplificación NTP es un ataque volumétrico de denegación de servicio distribuido (DDoS) por reflexión en el que un atacante aprovecha la funcionalidad de un servidor NTP (protocolo de tiempo de red) para sobrecargar una red o servidor específico con una cantidad amplificada de tráfico UDP, lo que impide al tráfico normal acceder al servidor y a su infraestructura asociada.

¿Cómo funciona un ataque de amplificación NTP?

Todos los ataques de amplificación explotan una disparidad en el coste de ancho de banda entre un atacante y el recurso web objetivo. Cuando la disparidad de costes se multiplica entre muchas solicitudes, el volumen de tráfico resultante puede interrumpir la infraestructura de la red. El envío de consultas breves que derivan en extensas respuestas permite al atacante superar su objetivo con menos esfuerzo. Si se multiplica este aumento haciendo que cada bot en una red de bots realice solicitudes similares, el atacante evita ser descubierto y se beneficia plenamente de un aumento significativo del ataque de tráfico.

Los ataques de inundación de DNS se diferencian de los ataques de amplificación de DNS. A diferencia de las inundaciones de DNS, los ataques de amplificación de DNS reflejan y amplifican el tráfico de los servidores DNS vulnerables para ocultar el origen del ataque y aumentar su eficacia. Los ataques de amplificación de DNS utilizan dispositivos con conexiones de menor ancho de banda para realizar numerosas solicitudes a servidores DNS vulnerables. Los dispositivos realizan muchas solicitudes breves para registros DNS muy grandes, pero al realizar las solicitudes, el atacante falsifica la dirección de retorno para que sea la de la víctima. La amplificación permite al atacante anular objetivos más grandes utilizando solo recursos de ataque limitados.

Para entender la amplificación de NTP, al igual que la amplificación de DNS, pensemos en un adolescente con malas intenciones que llama a un restaurante, pide todo lo que incluye el menú y solicita al establecimiento que le vuelvan a llamar para que le repitan todo el pedido". Cuando el restaurante le pide el número de teléfono, les facilita el número de la víctima. Esta recibe entonces una llamada del restaurante con mucha información que no solicitó.

El protocolo de tiempo de redes está diseñado para permitir que los dispositivos conectados a Internet sincronicen sus relojes internos y cumple una importante función en la arquitectura de Internet. Al explotar el comando monlist habilitado en algunos servidores NTP, un atacante puede multiplicar su tráfico de solicitud inicial, lo que deriva en una extensa respuesta. Este comando está habilitado de forma predeterminada en dispositivos más antiguos y responde con las últimas 600 direcciones IP de origen de las solicitudes que se han realizado al servidor NTP. La solicitud monlist de un servidor con 600 direcciones en su memoria será 206 veces mayor que la solicitud inicial. Esto significa que un atacante con 1 GB de tráfico de Internet puede perpetrar un ataque de más de 200 GB, es decir, un aumento masivo en el ataque de tráfico resultante.

Un ataque de amplificación NTP se puede dividir en cuatro fases:

  1. El atacante utiliza una red de bots para enviar paquetes UDP con direcciones IP falsificadas a un servidor NTP que tiene el comando monlist activado. La dirección IP falsificada en cada paquete se dirige a la dirección IP real de la víctima.
  2. Cada paquete UDP hace una solicitud al servidor NTP utilizando su comando monlist, lo que provoca una extensa respuesta.
  3. El servidor responde entonces a la dirección falsificada con los datos resultantes.
  4. La dirección IP del servidor recibe la respuesta y la infraestructura de red asociada se ve sobrecargada por la avalancha de tráfico, con la consiguiente denegación de servicio.
Ataque DDoS de amplificación de NTP

Como el ataque de tráfico parece tráfico legítimo procedente de servidores válidos, es difícil mitigarlo sin bloquear los servidores NTP reales de la actividad legítima. Los paquetes UDP no necesitan un protocolo de enlace, por lo que el servidor NTP enviará extensas respuestas al servidor objetivo sin verificar que la solicitud es auténtica. Todo ello, junto con un comando incorporado que por defecto envía una amplia respuesta, convierte a los servidores NTP en el medio ideal para ejecutar ataques de amplificación DDoS por reflexión.

¿Cómo se mitiga un ataque de amplificación NTP?

Para un particular o una empresa que tiene un sitio o servicio web, las opciones de mitigación son limitadas. La razón es que el servidor de un particular, aunque podría ser el blanco de un ataque, no es donde repercute principalmente el ataque volumétrico. Debido a la gran cantidad de tráfico generado, la infraestructura que rodea al servidor será la más afectada. Es posible que el proveedor de servicios de internet (ISP) u otros proveedores de infraestructura no puedan gestionar el tráfico entrante sin evitar una sobrecarga. Como resultado, el ISP puede dirigir a través de un agujero negro todo el tráfico a la dirección IP de la víctima, protegiéndose a sí mismo e interrumpiendo el sitio del objetivo. Las estrategias de mitigación, aparte de los servicios de protección remotos como la protección DDoS de Cloudflare, son en su mayoría soluciones preventivas de la infraestructura de Internet.

Deshabilita el comando monlist. Reduce el número de servidores NTP que admiten el comando monlist.

Una solución sencilla para corregir la vulnerabilidad de monlist es desactivar el comando. Todas las versiones del software NTP anteriores a la versión 4.2.7 son vulnerables por defecto. La actualización de un servidor NTP a la versión 4.2.7 o superior deshabilita el comando, lo que repara la vulnerabilidad. Si no es posible esta actualización, el administrador de un servidor podrá realizar los cambios necesarios siguiendo las instrucciones del US-CERT (equipo de respuesta ante emergencias informáticas de Estados Unidos).

Verifica la IP de origen. Evita que los paquetes falsificados salgan de la red.

Debido a que las solicitudes UDP que envía la botnet del atacante deben tener una dirección IP de origen falsificada a la dirección IP de la víctima, un componente clave para contrarrestar la eficacia de los ataques de amplificación basados en UDP es que los proveedores de servicios de Internet rechacen cualquier tráfico interno con direcciones IP falsificadas. Si un paquete se envía desde dentro de la red con una dirección de origen que hace que parezca que se originó fuera de la red, es probable que sea un paquete falsificado que pueda eliminarse. Cloudflare recomienda que todos los proveedores implementen el filtrado de ingreso, y en ocasiones contactará con aquellos que estén formando parte de un ataque DDoS sin saberlo (en incumplimiento del BCP38) y les informará sobre su vulnerabilidad.

El enfoque combinado de desactivación de monlist en servidores NTP e implementación de filtros de ingreso en redes que actualmente permiten la suplantación de IP es una forma efectiva de detener este tipo de ataque antes de que alcancen la red objetivo.

¿Cómo funciona un ataque de amplificación NTP?

Con un firewall correctamente configurado y suficiente capacidad de red (que no siempre es fácil de encontrar a menos que seas de la magnitud de Cloudflare), bloquear ataques de reflexión como ataques de amplificación de NTP es muy sencillo. Aunque el ataque se dirija a una sola dirección IP, nuestra red Anycast distribuirá todo el ataque de tráfico hasta el punto donde deje de suponer un problema. Cloudflare puede usar su red escalable para distribuir el volumen del ataque en muchos centros de datos, equilibrando así la carga para que el servicio nunca se vea interrumpido y el ataque no sature la infraestructura del servidor objetivo. En un periodo reciente de seis meses, nuestro sistema de mitigación de DDoS "Gatebot" detectó 6.329 ataques de reflexión simples (es decir, uno cada 40 minutos) y nuestra red logró mitigarlos todos. Más información sobre la protección DDoS avanzada de Cloudflare.