Las  técnicas de Denegación de Servicio Distribuidas (DDoS) han aumentado de manera masiva debido a atacantes cada vez más hábiles en seguridad de redes.

Un ataque DDoS de 300 Gbps lanzado en contra del sitio web Spamhouse por poco destroza Internet hace un año, a principios de este, los ataques han alcanzado nuevas alturas con el episodio de la firma Cloudflare, quienes proporcionan protección DDoS, alcanzando más de 400 Gbps en el momento máximo de tráfico.

El equipo de respuesta a incidentes de Akamai, el Prolexic Security Engineering and Response TEAM (PLXsert), emitió un comunicado el jueves pasado en donde se informa de una importante oleada de ataques DDoS utilizando el protocolo SNMP (Simple  Network Managment Protocol) en dispositivos de red. El protocolo SNMP es de tipo UDP (protocolo no orientado a la comunicación), es utilizado para administrar dispositivos de red como impresoras, routers y firewalls que pueden encontrarse tanto en empresas como hogares.

Como los ataques de amplificación DNS, SNMP puede ser utilizado en ataques de amplificación, ya que un atacante puede enviar una pequeña petición con una dirección IP falseada (dirección de la víctima) esperando recibir una respuesta mucho mayor. Durante el mes pasado, investigadores descubrieron 14 campañas de ataques DDoS haciendo uso del protocolo SNMP. Los objetivos fueron distintas industrias, entre estas productos de consumo como juegos, hosting, organizaciones no lucrativas y software, ubicadas principalmente en los Estados Unidos (49%) y China (18.49 %).

Los ataques DDoS cada día se vuelven más sofisticados y complejos, convirtiéndose en la herramienta favorita de los cibercriminales para supender temporalmente o dejar fuera de servicio a equipos conectados a Internet. "El uso específico de algunos tipos de protocolos para realizar ataques de reflexión como SNMP se puede apreciar de vez en cuando", según Stuart Scholly, vicepresidente y director general de la Unidad de Seguridad de Negocios de Akamai. "Nuevas herramientas para realizar ataques de amplificación mediante SNMP han alimentado estos ataques." El ataque sólo utiliza dispositivos que cuentan con una versión antigua de SNMP, es decir versión 2, la cual de manera predeterminada posee la configuración como pública y puede responder a peticiones externas, mientras no se configure. La última versión de SNMP, la versión 3, es más segura.

Los cibercriminales hacen uso de herramientas para realizar ataques DDoS con la intención de automatizar las peticiones de tipo GetBulk del protocolo SNMP v2 a una gran cantidad de dispositivos de red y responder enviando toda la información que almacenan a la víctima para agotar sus recursos.

El ataque es de tipo reflexión (hace peticiones a nombre de la víctima) y de amplificación (ataques DrDoS) lo que permite que con pequeñas peticiones a servicios abiertos se obtenga una gran cantidad de tráfico.

"Los administradores de red deben de ser alentados a buscar y asegurar dispositivos que usen la versión 2 de SNMP", agregó Scholly. La comunidad de Internet ha estado activamente agregando a listas negras los equipos que han participado en ataques DDoS, pero también se requiere que los administradores de red realicen las acciones descritas en el aviso. Ellos pueden ayudar a prevenir que más dispositivos sean encontrados y utilizados por atacantes."

Desde 2013, se han optado nuevas tácticas para ampliar el tamaño de los ataques DDoS, aprovechando las debilidades en protocolos UDP. Los más comunes son DNS y NTP, pero ahora los cibercriminales han utilizado SNMP para causar un mayor daño.