[LACNIC/Seguridad] [lacnog] DDoS, ataques de amplificacion y BCP38

Fernando Gont fgont en si6networks.com
Mie Mar 27 20:21:02 BRT 2013 

On 03/27/2013 07:15 PM, Iván Arce wrote:
>
> En el caso de BCP38, evitar spoofing de la direccion de origen previene
> o hace mas dificil, entre otros, ataques de inserción de datos en
> sesiones TCP. Por ejemplo: http://pdos.csail.mit.edu/~rtm/papers/117.pdf
> 
> Ver además http://tools.ietf.org/html/rfc6528

Lamentablemente, incluso en circulos como el de IETF, intentar promover
cosas como RFC 6528, RFC 6056, o el reciente
<http://tools.ietf.org/id/draft-ietf-6man-predictable-fragment-id-00.txt>,
termina siendo "un parto".

Como "data point", cuando recientemente se estaba discutiendo la
adopción del IETF I-D de arriba, hable "fuera de lista" con gente del
ambito de operaciones... y la respuesta de alguno de ellos fue "hasta
que algo de esto me cause problemas, no me voy a preocupar".

Por un lado, es gracioso que muchos operadores si se hayan preocupado en
usar cosas como la opcion TCP MD5 (o la nueva TCP-AO), cosas tales como
GTSM (exigir qque el TTL de los paquetes sea 255, apra proteger sesiones
BGP), y demas -- ninguna de las cuales son eficaces para ataques basados
en fragmentacion... ya que los mismos actuan *antes* que todas las
contramedidas mencionadas.


En ocasiones me siento tentado a publicar herramientas *automatizadas*
que reproduzcan estos ataques, en vez de invertir/perder tanto tiempo en
discusiones de ese tipo.



> Por otro lado, mas allá de problemas de amplificación de trafico, un
> open resolver es un candidato ideal para formar parte de un ataque de
> evenenamiento del cache de DNS
> 
> Aqui un ejemplo de un ataque práctico que se publico en 1997, desde
> entonces hasta hoy se han publicado multiples variaciones y mejoras a
> este tipo de ataques.
> 
> http://www.openbsd.org/advisories/res_random.txt

Lo mas enfermante es que desde el año el trabajo de Morris (1985), se
viene repitiendo el mismo problema una y otra vez: TCP Sequence Numbers,
IPv4 Frag IDs, DNS TID, TCP source port, IPv6 Frag ID, IPv6 Flow Label....


> En retrospectiva, creo que haber titulado BCP38 como "Defeating Denial
> of Service Attacks which employ IP Source Address Spoofing" fue en
> detrimento de su adopción.

Coincido. -- De cualquier modo, en lo personal me preocupa el
escepticismo que hay en la materia -- desde vendors a operadores.

Uno de los ejemplos mas recientes es el vinculado a seguridad v6. Donde
parece que muy poca gente se molesta en sentarse a analizar cuales son
las implicancias, en vez de dejarse llevar por esos mitos que muchos
marketineros lograron establecer con los años...

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad