En el mundo de los ataques denegación de servicio distribuidos (DDoS) los ataques de reflección y particularmente los de amplificación, ya sea DNS o NTP, son dos de los que se habla bastante hoy en día. Sin embargo, la aplicación exitosa de medidas defensivas ha orillado a los atacantes a hacer uso de un protocolo menos recurrido hasta ahora, el Protocolo Simple de Administración de Red (SNMP, por sus siglas en inglés).

Johannes Ullrich, decano de investigación del Instituto de Tecnología SANS, dijo a SCMagazine.com que SNMP, un protocolo basado en UDP y utilizado para leer y establecer las configuraciones de dispositivos de red, no ha representado una amenaza tan grande como los ataques con DNS o NTP debido a que no hay tantos reflectores (Se le llama reflector a un equipo que participa en un ataque de denegación de servicio, específicamente un ataque de reflexión) disponibles como los hay para otros protocolos.

Ullrich dijo que la mayoría de los dispositivos de red soportan SNMP en alguna forma y que podría ser el siguiente recurso para los atacantes. Esto después de haber observado un ataque DDoS de reflexión que aprovechó un sistema de videoconferencia, el sistema permitía libre acceso al servicio SNMP.

En este caso, el atacante falsificó una petición SNMP para hacerla pasar como originada en la dirección IP 117.27.239.158, con lo que el sistema de video conferencia, al recibir la petición, respondió a dicha IP con una respuesta significativamente más grande.

Una mensaje específico de SNMP como lo es "getBulkRequest" con 87 bytes, resulta en una respuesta de 60 mil bytes de datos fragmentados, escribió Ullrich en un post, agregando que la persona que reportó el ataque observó una transferencia de tráfico de 5Mb/s aproximadamente.

"Las peticiones son bastante cortas, solicitando un ítem particular, y la respuesta puede ser muy grande", comentó Ullrich. "Por ejemplo, SNMP puede ser utilizado para consultar a un switch la lista de los dispositivos conectados a él. SNMP provee respuestas que pueden ser más grandes que en el caso de DNS o NTP".

Al tiempo que los administradores de red mejoran las configuraciones, causando que se reduzca la cantidad de reflectores DNS o NTP, SNMP podría convertirse en la próxima elección, dijo Ullrich, algo con lo que John Graham-Cumming, programador de CloudFlare, está de acuerdo.

"Creo que los atacantes optarán por SNMP una vez que otros métodos de ataque se vean frustrados", dijo Graham-Cumming. "En este momento es fácil utilizar NTP y DNS para atacar, así que no hay necesidad de SNMP".

Como un inicio en las acciones defensivas contra este vector de ataque, Graham-Cumming sugirió que los administradores de red limiten el acceso a dispositivos SNMP en sus redes. Ullrich fue más lejos e indicó que los dispositivos SNMP no deberían estar expuestos a Internet. Ambos expertos agregaron que el dato conocido como "community string", algo así como un identificador o contraseña que permite acceso a estadísticas de routers y otros dispositivos, no debería ser fácil de adivinar.