Las debilidades en la implementación del protocolo TCP en los middlebox y la infraestructura de censura podrían suponer un arma para llevar a cabo ataques de amplificación de denegación de servicio (DoS) reflejados contra cualquier objetivo. Así lo han advertido un grupo de investigadores en el Simposio de Seguridad USENIX.
Expertos de la Universidad de Maryland y la Universidad de Colorado Boulder han podido comprobar una vulnerabilidad en el diseño de algunos modelos de middlebox y cómo los ataques volumétricos aprovechan los middlebox que no cumplen con TCP, como firewalls, sistemas de inspección profunda de paquetes (DPI) y traductores de direcciones de red (NAT).
Los middlebox son dispositivos de red de computadoras que se encargan de transformar, inspeccionar y filtrar el tráfico para fines diferentes al envío de paquetes.
Los ciberdelincuentes que buscan desplegar un ataque DDos podrían mandar una combinación de secuencias de paquetes no estándar al middlebox en vez de replicar el proceso de enlace de tres vías en una conexión TCP. Así, pueden engañarlo para que crea que el protocolo de enlace de TCP ha concluido y se puede iniciar la conexión.
"Los middlebox a menudo no son compatibles con TCP por diseño: muchos intentan manejar el enrutamiento asimétrico, donde el middlebox solo puede ver una dirección de los paquetes en una conexión (por ejemplo, cliente a servidor). Pero esta característica los abre al ataque: si los middlebox inyectan contenido basado solo en un lado de la conexión, un atacante puede falsificar un lado de un protocolo de enlace de tres vías TCP y convencer al middlebox de que hay una conexión válida", han explicado los responsables del estudio.
"Los middlebox introducen una amenaza inesperada, aún sin explotar, que los atacantes podrían aprovechar para lanzar poderosos ataques DoS", han agregado los investigadores . "Proteger Internet de estas amenazas requerirá un esfuerzo concertado por parte de muchos fabricantes y operadores de middlebox", advierten.
Los investigadores alertan de que los sitios webs que normalmente son bloqueados por los sistemas de seguridad de las empresas, los organismos oficiales de los gobiernos o, directamente, por los instrumentos de censura de los Estados, constituirían un gran vector para el despliegue de ataques de denegación de servicio TCP (TCP DDos).
Así, han comprobado cómo algunas páginas web muy conocidas dedicadas a la pornografía, los juegos de azar o el intercambio de archivos podrían funcionar como un factor confiable para dichos ataques. "Los sistemas censores de los estados nación pueden transformar cada dirección IP enrutable dentro de su país en un amplificador potencial", aseguran rotundamente.
En total, los investigadores hallaron más de 200 millones de direcciones IPv4 de middlebox de red susceptibles de ser utilizadas para perpetrar un ataque. Al funcionar con grandes cargas de tráfico y bucles que envían el mismo paquete TCP con formato incorrecto varias veces, suponen un buen agujero para el despliegue de los ataques DDoS.
Un DoS no es lo mismo que un DDoS
Es importante no confundir los ataques DDoS con los ataques DoS. Aunque ambos son de "denegación de servicio" tienen algunas diferencias. En los primeros muchas máquinas hacen múltiples solicitudes a un servidor desde diferentes puntos de la red con el fin de inestabilizarlo o dejarlo inoperativo. Como un DDoS suele venir de varias direcciones IP (en muchos casos se usan ordenadores zombies), resulta más difícil de ser detectado.
Sin embargo, en el caso de los ataques DoS (Denial of Service) el que lleva a cabo todas las peticiones es un único ordenador o bien una sola dirección IP.