Um ataque reflexivo distribuído de negação de serviço (DRDoS, sigla em inglês) é uma variação do ataque distribuído de negação de serviço (DDoS, sigla em inglês) que se utiliza de serviços UDP acessíveis publicamente, bem como de fatores de amplificação de largura de banda, para sobrecarregar o sistema atacado com tráfego UDP.
O UDP, por definição, é um protocolo não orientado a conexão que não valida endereços IP de origem. A menos que o protocolo da camada de aplicação utilize contra medidas como início de sessão, é muito fácil forjar um pacote IP para incluir endereços IP de origem aleatórios [7]. Quando muitos pacotes UDP tem sua origem forjada para um único endereço, o servidor responde para esta vítima, criando um ataque reflexivo de negação de serviço.
Recentemente, certos protocolos UDP foram notados por apresentarem respostas a certos comandos muito mais longas do que as requisições iniciais. Onde antes os atacantes eram limitados linearmente pelo numero de pacotes enviados diretamente ao alvo para conduzir o ataque DoS, agora um único pacote pode gerar dezenas ou centenas de vezes mais largura de banda em sua resposta. Isto é chamado de ataque de aplificação, e quando combinado com um ataque reflexivo de negação de serviço em larga escala, torna-se relativamente fácil conduzir um ataque distribuído de negação de serviço.
Para medir o potencial efetivo de um ataque de amplificação, utilizamos uma métrica chamada de fator de amplificação de largura de banda, que pode ser calculada como o numero de bytes do payload UDP que um amplificador envia para responder uma requisição, comparado com o numero de bytes do payload da requisição.
Abaixo está a lista de protocolos conhecidos e seu fatores de amplificação de banda:
| Protocolo | Fator de amplificação de banda | Comando vulnerável |
| DNS | 28 to 54 | Veja: TA13-088A [1] |
| NTP | 556.9 | Veja: TA14-013A [2] |
| SNMPv2 | 6.3 | GetBulk request |
| NetBIOS | 3.8 | Name resolution |
| SSDP | 30.8 | SEARCH request |
| CharGEN | 358.8 | Character generation request |
| QOTD | 140.3 | Quote request |
| BitTorrent | 3.8 | File search |
| Kad | 16.3 | Peer list exchange |
| Quake Network Protocol | 63.9 | Server info exchange |
| Steam Protocol | 5.5 | Server info exchange |
Impacto
Atacantes podem utilizar a largura de banda e a relativa confiança de grandes servidores que provêm os protocolos UDP listados acima para inundar as vítimas com trafego indesejável, ou seja, um ataque DDoS.
Solução
Detecção
Detecção de um ataque DRDoS não é fácil, devido ao uso de vários e confiáveis servidores que provêm serviços UDP. Para a vítima, meios tradicionais de mitigação de ataques DoS podem ser usadas. Administradores de rede de um destes serviços exploráveis, devem buscar por respostas demasiadas grandes para um IP específico. Isso pode indicar que o atacante esta usando seu serviço em um ataque DRDoS .
Mitigação
Verificação do IP de origem
Como requisições UDP enviadas pelos clientes controlados pelo atacante devem ter o IP de origem forjado para parecer com o IP da vítima, o primeiro passo para reduzir a efetividade da amplificação do UDP é que os provedores de serviço de internet rejeitem qualquer trafego UDP com endereços forjados. O “Network Working Group of the Internet Engineering Task Force (IETF)” lançou o documento “Best Current Practice 38” em Maio de 2000 e o “Best Current Practice 84” em 2004 que descreve como um Provedor de Serviço de Internet pode filtrar o trafego em sua rede para rejeitar pacotes com origem não alcançável através do cominho atual do pacote [3][4]. As alterações recomendas nestes documentos farão com que o dispositivo de roteamento avalie quando é possível alcançar o IP de origem de um pacote através da interface que enviou o pacote. Caso não seja possível, então provavelmente o pacote tem a sua origem forjada. Esta alteração pode reduzir substancialmente o potencial da maioria dos ataques do tipo DDoS. Dessa forma, recomendamos fortemente a todos os administradores de redes a executar a filtragem de pacotes de entrada na rede, se possível. Note que isso não irá proteger explicitamente um provedor de serviços UDP de ser explorado em um DRDoS, já que todos os provedores devem usar esta filtragem para eliminar a ameaça completamente. Para verificar se em sua rede estão implementados filtros de entrada, utilize as ferramentas open source do projeto “Spoofer Project” [5].
Traffic Shaping
Limitar as respostas para requisições UDP é outra potencial mitigação para este problema. Isto pode requerer testes para definir valores que não interfiram no tráfego legítimo. As RFC 2475 e 3260 da IETF descrevem algum métodos para controlar o trafego [6][8]. A maioria dos dispositivos de rede atuais oferecem estas funcionalidades.
Referências
[1] DNS Amplification Attacks (http://www.us-cert.gov/ncas/alerts/TA13-088A)
[2] NTP Amplification Attacks Using CVE-2013-5211 (http://www.us-cert.gov/ncas/alerts/TA14-013A)
[3] Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing (http://tools.ietf.org/html/bcp38)
[4] Ingress Filtering for Multihomed Networks (http://tools.ietf.org/html/bcp84)
[5] The Spoofer Project (http://spoofer.cmand.org/index.php)
[6] An Architecture for Differentiated Services (http://tools.ietf.org/html/rfc2475)
[7] SIP: Session Initiation Protocol (http://tools.ietf.org/html/rfc3261)
[8] New Terminology and Clarifications for Diffserv (http://tools.ietf.org/html/rfc3260)
Fonte:
US CERT:
https://www.us-cert.gov/ncas/alerts/TA14-017A