Los ciberataques evolucionan constantemente, y entre las variedades dañinas, los Ataques DDoS por Reflexión mDNS han surgido como una amenaza creciente y compleja. En este post, exploraremos qué son estos ataques, cómo funcionan y qué medidas de protección pueden adoptarse para mitigar sus efectos dañinos.
¿Qué es el servicio mDNS (5353/udp)?
mDNS es un protocolo DNS Multicast. Una «multidifusión» transmite el mismo mensaje a varios puntos de una red. mDNS es un método para descubrir vecinos de red, adecuado para redes pequeñas sin servidores DNS propios. Por defecto utiliza el puerto 5353/UDP. Es un protocolo de red utilizado para resolver nombres en redes locales que no tienen su propio servidor DNS. Al tratarse de un servicio utilizado únicamente dentro de redes locales, no es necesario que el servicio mDNS esté expuesto a Internet.
Si es accesible a toda Internet a través de UDP, este servicio puede explotarse para ataques DDoS que utilicen la amplificación. Esto se debe a que el atacante envía una solicitud falsificando la IP de la víctima y el servidor mDNS devuelve una respuesta mucho mayor que la solicitud.
¿Qué son los ataques DDoS por reflexión mDNS?
Los ataques DDoS por DNS multidifusión aprovechan la vulnerabilidad de los dispositivos configurados con mDNS activado. En este tipo de ataque, los atacantes envían peticiones falsificadas al mDNS, provocando que varios dispositivos de la red respondan a la víctima designada. El resultado es una sobrecarga de la red que provoca la indisponibilidad de los servicios para la víctima, lo que caracteriza un ataque DDoS.
¿Cómo funcionan estos ataques?
Los atacantes suelen utilizar técnicas de suplantación de IP para enviar solicitudes mDNS manipuladas a una red local. Estas solicitudes se envían de tal forma que parecen proceder de la víctima, dirigiendo las respuestas hacia ella. Así, los dispositivos de la red responden en masa a la víctima, sobrecargando su ancho de banda y su capacidad de procesamiento.
Mitigación de ataques DDoS por reflexión mDNS
- Desactivar mDNS si es posible: Para los dispositivos que no necesitan mDNS, desactivarlo es una solución eficaz para prevenir este tipo de ataque.
- Configuraciones de red seguras: asegúrate de que tu red está configurada de tal forma que no permita el tráfico mDNS no autorizado, evitando así que este ataque se amplifique.
- Filtrado de tráfico: implantar medidas para filtrar o limitar el tráfico sospechoso identificando y bloqueando los paquetes mDNS maliciosos.
- Actualizaciones y parches: mantenga sus dispositivos y sistemas actualizados con los últimos parches de seguridad, ya que a menudo solucionan vulnerabilidades conocidas.
¿Por qué debería preocuparme?
El servicio mDNS puede utilizarse para causar daños a terceros, implicando a su red en ataques a otras organizaciones, además de suponer un mayor consumo de ancho de banda.
Puede encontrar información adicional sobre cómo evitar que su red sea utilizada para este y otros ataques DDoS aquí:
https://cert.br/docs/whitepapers/ddos/
¿Dónde puedo obtener más información sobre el abuso del protocolo mDNS para ataques DDoS?
- Ataques de amplificación basados en UDP https://www.us-cert.gov/ncas/alerts/TA14-017A
¿Cómo sabe CERT.br que se trata de un dispositivo vulnerable?
CERT.br está recibiendo notificaciones con listas de dispositivos que utilizan mDNS y que posiblemente están siendo abusados y utilizados en ataques distribuidos de denegación de servicio (DDoS). CERT.br está notificando a los responsables de los dispositivos brasileños que figuran en estas listas.
¿Cómo puedo estar seguro de haber resuelto el problema?
Puede comprobar su dispositivo utilizando el siguiente comando: (ejecútelo preferiblemente desde Internet, es decir, fuera de una red interna que tenga permiso para acceder al dispositivo).
$ dig @ENDERECO_IP -p 5353 ptr _services._dns-sd._udp.local
Donde DIRECCIÓN_IP es la IP del dispositivo que utiliza mDNS que se va a probar. Antes de ejecutar el comando anterior, asegúrese de que tiene la herramienta dig instalada en su ordenador.
En un escenario en el que la ciberseguridad es más vital que nunca, estar informados sobre estos ataques y tomar medidas proactivas para proteger nuestras infraestructuras es esencial. Al conocer las amenazas emergentes, como los ataques DDoS por reflejo de mDNS, estamos mejor situados para reforzar nuestras defensas y garantizar la seguridad de nuestros sistemas y datos.
Master da Web, su solución en la nube ☁️
Referencias:
https://segurancadainformacao.furg.br/monitoramento/protocolos-vulneraveis/138-mdns