Puedes contactar con nosotros en:
Dirección: Extremadura (Cáceres - Badajoz)
Teléfono: +666 55 29 01 +34 609 46 82 84
Email: info@nivel13.es
Copyright © 2020 Nivel 13 Todos los Derechos Reservados.
Cookie | Duración | Descripción |
---|---|---|
cookielawinfo-checkbox-advertisement | 1 year | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement". |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Duración | Descripción |
---|---|---|
CONSENT | 16 years 4 months | These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video. |
Cookie | Duración | Descripción |
---|---|---|
IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
test_cookie | 15 minutes | This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
YSC | session | This cookies is set by Youtube and is used to track the views of embedded videos. |
yt-remote-connected-devices | never | These cookies are set via embedded youtube-videos. |
yt-remote-device-id | never | These cookies are set via embedded youtube-videos. |
Cookie | Duración | Descripción |
---|---|---|
TS0121ba44 | session | No description |
Ciberataques DrDoS basados en el protocolo CharGEN
Tras el estudio preliminar de los ciberataques de denegación de servicio (DoS), junto con algunas de sus variantes expuestas en el artículo “DrDoS: características y funcionamiento”, en este nuevo artículo se abordará cómo el protocolo de CharGEN es utilizado como una herramienta para desarrollar un ciberataque DoS en su variante DrDoS.
CharGEN
El protocolo generador de caracteres, en inglés Character Generator Protocol (CharGEN), fue diseñado para ser utilizado en tareas de depuración y medición, con las que comprobar el estado de las conexiones de una red, el correcto funcionamiento del buffer y las posibles limitaciones electrónicas. También puede ser utilizado para comprobar el ancho de banda y calidad (QoS) de una red, todo ello mediante el envío de un flujo de bytes constante.
Su funcionamiento sigue las especificaciones de la RFC 864, utilizando el puerto 19, al que uno se puede conectar utilizando los protocolos de transporte UDP y TCP. En los sistemas Unix y similares el servicio CharGEN está integrado con la plataforma, no estando activado por defecto, como un programa que proporciona servicios de red en segundo plano, conformando un demonio inetd o xinetd. Para comprobar las conexiones CharGEN, al conectarse a través de una conexión TCP, el servidor envía datos arbitrarios ininterrumpidamente hasta que el otro extremo cierra la sesión y se desconecta del servidor. Cuando la conexión se produce por UDP, el servidor envía datagramas UDP de respuesta, que tienen un número aleatorio de caracteres (entre 0 y 512), siempre que reciba peticiones de servicio del otro extremo del servidor CharGEN.
– Figura 1. Esquema de funcionamiento de CharGEN –
Vector de ataque
El protocolo de transporte UDP hace a los servidores CharGEN susceptibles de sufrir ataques de denegación de servicio o ser utilizados como servidores intermedios para provocarlos. La vulnerabilidad del protocolo CharGEN, ampliamente utilizado en la comunicación con impresoras remotas, es bien conocida y bastante accesible para los atacantes. Tanto es así, que existen algunos troyanos especializados en explotar esta brecha de seguridad, la cual se agrava si hablamos de equipos ofimáticos, como las impresoras, ya que no resultan ser la prioridad de una empresa a la hora de aplicar actualizaciones o parches.
El patrón de ataque para denegación de servicio por CharGEN sigue las mismas pautas que el resto de las variantes de los ataques DrDoS. El atacante identifica el mayor número posible de servidores que tengan activado el servicio CharGEN y que sean de acceso público. Estos equipos actuarán como intermediarios para inutilizar el equipo víctima sobre el que se lanzará el ataque, para lo cual, el atacante se valdrá de una botnet con la finalidad de enviarles miles de peticiones de CharGEN con la dirección IP de origen falseada (sustituida por la dirección IP de la víctima). Cuando los equipos intermedios reciben las peticiones de la botnet, dirigen sus respuestas a la dirección IP de la víctima, la cual recibe los paquetes con un tamaño entre 200 y 1000 veces mayor que cuando fueron generados en la petición original. El elevado número de peticiones lanzadas desde la plataforma de botnet, junto con el incremento del tamaño de las respuestas, provoca inevitablemente el colapso del equipo objetivo final por la imposibilidad de absorber y procesar todo el tráfico que le llega.
– Figura 2. Esquema del ataque a CharGEN –
Por las características de funcionamiento de los servicios de CharGEN, el uso de este protocolo posibilita que los atacantes puedan redirigir la inundación de tráfico a cualquier servicio UDP activo en el equipo víctima, modificando los datos sobre el puerto origen en las peticiones.
Además de los perjuicios que puede ocasionar para la víctima la inutilización de sus sistemas atacados, los servidores CharGEN involucrados en el ataque también pueden verse afectados y colapsar debido al elevado número de consultas recibidas, desde una botnet conformada por decenas, cientos o miles de equipos zombis.
En este sentido, hay que resaltar que los propietarios legítimos de los servidores CharGEN engañados pueden enfrentarse a problemas legales, ya que para la víctima, el origen del ataque DoS se encuentra en los dispositivos CharGEN intermedios y podría interponer reclamaciones al propietario de estos.
Prevención
Cualquier servidor CharGEN con el puerto 19 público en Internet será vulnerable a un ataque DrDoS. Para verificar si un servidor propio está expuesto en Internet se pueden realizar estas dos opciones:
Si en la salida del comando se incluye la siguiente línea “Ports: 19/open/udp//chargen///”, el servidor tendrá el puerto 19 abierto y, por lo tanto, será vulnerable.
Las medidas preventivas recomendadas para evitar que un servicio de CharGEN propio participe voluntariamente en un ataque DrDoS contra terceros son las siguientes:
Detección y evidencias
Para localizar algún tipo de señal que delate que se está utilizando un dispositivo CharGEN propio para un ataque DrDoS, se puede revisar la caché del dispositivo que genera las sospechas, así como analizar las actividades inusuales relativas al puerto 19, donde trabaja este servicio. Igualmente, se puede realizar un análisis más exhaustivo sobre los paquetes que se están enviando, revisando la dirección IP de origen y el tamaño de esos paquetes.
Si es viable, es recomendable desplegar un gestor de información y eventos de seguridad (dispositivos tipo SIEM), los cuales monitorizan los logs de los equipos y sistemas. De esta manera, se podrá identificar más fácil y rápidamente los posibles equipos afectados. Esta información también puede ser extraída gracias al cortafuegos, siempre que este filtre el puerto 19.
Respuesta y recomendaciones
Si se ha detectado el ataque de DrDoS, es importante tener una serie de medidas previamente definidas que ayuden a la rápida gestión del ataque. Estas medidas deben tener en cuenta los siguientes aspectos:
Cuando el ataque ha terminado se debe hacer una comprobación de los daños producidos y de las consecuencias provocadas. Se recomienda hacer una investigación de los motivos por los que se ha producido el ataque (si era evitable o no) y si la respuesta al mismo ha sido lo suficiente efectiva y rápida. Hecho lo anterior, se recomienda tomar medidas adicionales que eviten un nuevo ataque.
Por último, los ataques que ocurran deben ser denunciados ante las autoridades competentes para dar cumplimiento a la investigación y procesamiento de cualquier delito telemático. Asimismo, el personal jurídico de la entidad debe ser informado del perjuicio que pueda tener tanto para sí misma como para terceros.
Buscar
Entradas recientes
Categorías
Entradas Populares
Dispositivos IoT en el entorno empresarial
27 de septiembre de 2021ATAQUE MAN-IN-THE-MIDDLE
16 de septiembre de 2021BYOD (Bring your own device)
14 de septiembre de 2021Calendario
Etiquetas
Archivos
Meta