• PRECIOS ESPECIALES EN TODOS LOS EQUIPOS ¡PIDE UNA COTIZACIÓN!
mfx
X

Contáctanos

  • Monterrey 325 Int. 206, Col. Roma Sur Del. Cuauhtémoc, Ciudad de México, C.P. 06760.
  • grudis@grudis.com
  • Horario: L-V 10:00am a 6:00pm
  • 55-52-64-88-38

Elementor #11895

grudis.com > Blog > Software > Elementor #11895

Elementor #11895

Ficha Técnica del Incidente - Ataque DDoS al DNS

Jesús Martín Ortega Martínez

March 12, 2024

1. Información General

1.1 Fecha y Hora del Incidente

Fecha: 20/02/2024
Hora: 05:00

1.2 Duración del Ataque

Inicio: 20/02/2024, 05:00
Fin: 25/02/2024, 16:00

1.3 Descripción del Incidente

1.3.1 Tipo de Ataque
Ataque Distribuido de Denegación de Servicio (DDoS) al servidor DNS.
1.3.2 Breve Descripción
El atacante uso una botnet e IP spoofing para burlar la protección de la herramienta Crowdsec.

2 Impacto y Consecuencias

2.1 Servicios Afectados


• DNS
• Red Totalplay (Wi-Fi y cableada)
• Servidores locales que usan el DNS
• Servidor Arashi
• Usuarios remotos del DNS

2.2 Impacto en el Negocio

• Posible lentitud en la navegación (equipos y usuarios remotos)
• Posible indisponibilidad de las páginas de Grudis
• Alto uso de espacio de disco (los logs de las request del DNS se habilitaron durante el ataque, llegando a pesar 50 GB)

3 Respuesta y Mitigación

3.1 Herramientas Utilizadas

Se desarrolló una herramienta custom, basada en bash e iptables, la cual se va a poder escalar para proteger contra nuevos DDoS en otros puertos, y contra ataques a fuerza bruta.

3.2 Proceso de Mitigación

• Desinstalar Crowdsec.
• Analizar las peticiones de red para encontrar un patrón.
• Una vez encontrado el patrón, usar bash junto con iptables para desarrollar la herramienta.
• Probar y refinar la herramienta.
• Una vez que la herramienta demuestra analizar y bloquear correctamente, se usa cron para ejecutar la herramienta cada minuto. 

3.3 Recuperación

Después de que la herramienta de protección fuese desplegada, la velocidad de la red se estabilizó, y la
lentitud general desapareció.

4 Análisis Técnico

4.1 Patrones de Tráfico Anormal

El uso de una botnet hacía que el atacante tuviese, en lugar de una IP haciendo 5000 peticiones en 30 segundos, más de 1000 IP’s haciendo 5 peticiones en 30 segundos, por lo que Crowdsec no era capaz de detectar el ataque, y cuando se bloqueaba manualmente el grupo de IP’s, el atacante cambiaba el grupo de IP’s para seguir atacando. Las requests querían resolver el dominio ”cisco.com”, y las 1000 IP solo hacían requests para pedir ese dominio. Lo normal es que una IP resuelva varios dominios.
Por ejemplo, al entrar a facebook.com, hay que resolver facebook.com, graph.facebook.com, chat-e2ee￾mini.facebook.com, edge-chat.facebook.com y connect.facebook.net. Además, que una IP consultando cisco.com es normal, pero m´as de 1000 (un máximo de 65025) consultando cisco.com, ya no es nada normal.

4.2 Vectores de Ataque

El DNS responde por 5 posibles protocolos:
• UDP, puerto 53 (el más usado).
• TCP, puerto 53.
• TLS, TCP seguro en puerto 853.
• QUIC, UDP seguro en puerto 853.
Para este ataque, se usó exclusivamente el protocolo UDP y el puerto 53.

4.3 Origen del Tráfico Malicioso

Usando geoiplookup se detecta que el tráfico proviene de Brasil (96%), China (3%) y Taiwán (1%).

5 Recomendaciones y Lecciones Aprendidas

5.1 Medidas Preventivas

Se dejará habilitada la herramienta de protección en todo momento, está probado que no afecta el rendimiento del servidor donde corre, así que no debería haber problema.

5.2 Lecciones Aprendidas

Las herramientas existentes no son perfectas, por lo que debemos estar siempre alertas y monitoreando en búsqueda de actividad sospechosa, para poder prevenir daños.

6 Información Adicional

6.1 Autor de la Ficha Técnica

Jesús Martín Ortega Martínez – Desarrollador, Linux Sysadmin

Leave A Comment

All fields marked with an asterisk (*) are required