Investigadores de la Universidad de Tennessee han identificado recientemente el ataque Maestro, un nuevo ataque de inundación de enlaces (LFA) que aprovecha las técnicas de ingeniería de control de tráfico de avión para concentrar los flujos de denegación de servicio distribuida (DDos) de botnet en los enlaces de tránsito. En su papel publicado recientemente en arXiv, los investigadores describieron este tipo de ataque, trató de comprender su alcance y presentó mitigaciones efectivas para los operadores de red que deseen aislarse de él.

Los ataques distribuidos de denegación de servicio (DDos) funcionan dirigiendo el tráfico de diferentes fuentes en Internet para abrumar la capacidad de un sistema objetivo. Aunque los investigadores han introducido numerosas técnicas de mitigación y defensa para proteger a los usuarios contra estos ataques, todavía están proliferando. Los ataques de inundación de enlaces (LFA) son un tipo específico de ataques DDoS que se dirigen a enlaces de infraestructura, que normalmente se lanzan desde botnets.

"Mientras investiga qué tan bien un ISP puede defenderse por sí solo contra ataques masivos de denegación de servicio, nos dimos cuenta de que la misma técnica que estábamos usando para defendernos de los ataques podría ser utilizada por un adversario para derribar nuestra propia defensa, "Jared Smith, uno de los investigadores que realizó el estudio, dijo a TechXplore. "Esto nos llevó a explorar qué tan bien esta técnica, Envenenamiento por BGP, podría utilizarse para llevar a cabo un ataque de este tipo ".

Mientras intentaban desarrollar defensas contra los ataques DDoS, Smith y sus colegas Tyler McDaniel y Max Schuchard exploraron cómo la capacidad de un adversario para influir en las decisiones de enrutamiento (es decir, su acceso a un protocolo de puerta de enlace fronterizo comprometido o altavoz BGP) puede moldear los procesos de selección de ruta de las redes remotas para su beneficio. Durante su investigación, identificaron un nuevo tipo de ataque LFA, al que llamaron el ataque Maestro.

"Estamos investigando ataques DDoS contra enlaces de infraestructura de Internet, "McDaniel dijo a TechXolore." Estos ataques están limitados por las características de enrutamiento de Internet, porque las fuentes DDoS no siempre tienen un destino para su tráfico que cruza un enlace de destino. El ataque Maestro explota vulnerabilidades en el idioma que utilizan los enrutadores de Internet para comunicarse (es decir, BGP) para superar esta limitación ".

El ataque Maestro funciona distribuyendo mensajes BGP fraudulentos (es decir, envenenados) desde un enrutador de Internet para canalizar el tráfico entrante (es decir, el tráfico que fluye hacia el enrutador) en un enlace de destino. Simultaneamente, dirige un ataque DDoS contra el mismo enrutador utilizando una botnet, que, en última instancia, canaliza el tráfico DDoS hacia el enlace de destino.

En otras palabras, Maestro orquesta la selección de rutas de sistemas autónomos remotos (AS) y destinos de tráfico de bots, para dirigir flujos maliciosos hacia enlaces que de otro modo serían inaccesibles para las botnets. Para llevar a cabo este ataque, un usuario necesitaría tener dos herramientas clave:un enrutador de borde en algún AS comprometido y una botnet.

"Para uno de nuestros principales modelos de botnets, Mirai, un atacante Maestro bien posicionado puede esperar traer un millón de hosts infectados adicionales al enlace de destino en comparación con un DDoS de enlace tradicional, ", Dijo McDaniel." Este número representa completamente un tercio de toda la botnet ".

Según los investigadores, para protegerse de este ataque, o al menos mitigar el riesgo de convertirse en un objetivo, Los operadores de red deben filtrar los mensajes BGP envenenados. Curiosamente, sin embargo, Los estudios llevados a cabo en su laboratorio revelaron que la mayoría de los enrutadores actualmente no filtran estos mensajes.

"Un adversario que pueda comprometer o comprar un enrutador de Internet puede difundir mensajes fraudulentos para intensificar los ataques a la infraestructura de Internet, ", Dijo McDaniel." Esto es preocupante, porque el trabajo anterior ha planteado el espectro de DDoS de enlace a gran escala que se utiliza como arma para aislar instalaciones o regiones geográficas enteras de Internet ".

Además de introducir el ataque Maestro, el estudio realizado por Smith, McDaniel y Schuchard proporcionan más evidencia de que BGP, tal y como está, ya no es un ideal, Protocolo de enrutamiento seguro y escalable. Esto ya fue sugerido por estudios previos, así como por incidentes recientes, como la operación de fraude 3ve y el secuestro de China Telecom. Según los investigadores, aunque las actualizaciones, como el bloqueo de pares, podrían ayudar a prevenir este ataque específico, reemplazando BGP con una completamente nueva, El sistema de próxima generación (por ejemplo, SCION) sería la solución más eficaz.

"Avanzando, principalmente estamos explorando dos direcciones, "Smith dijo." Primero, mientras habla con los operadores de ISP sobre Maestro, encontramos opiniones divergentes sobre la vulnerabilidad de Internet. Nuestro laboratorio tiene un historial de medir activamente el comportamiento de Internet y estamos trabajando para medir la intuición del operador humano frente al comportamiento real de Internet. Segundo, ya estamos viendo buenos resultados para ampliar Maestro para que funcione incluso cuando no se dispone de una botnet masiva ".

© 2019 Science X Network