Los ataques DDoS pueden obtener el origen de un sitio IP en el 71,5% de los casos

Los atacantes pueden obtener el origen de un sitio IP en el 71,5% de los casos

 

Un trabajo de investigación reciente muestra que la mayoría de los proveedores de seguridad basadas en la nube (CBSP) son ineficaces en la protección de los sitios web de los ataques DDoS, principalmente porque no pueden enteramente ocultar la dirección IP del sitio web de origen de los atacantes.

La mayoría de las soluciones de seguridad basadas en la nube funcionan cambiando la configuración DNS de un sitio web para colocarse entre los atacantes y el sitio web de destino.

El problema es que este tipo de mitigación de DDoS puede ser fácilmente anulada si los atacantes saben el origen de la página web de IP, en este caso la posibilidad de enviar el tráfico DDoS directamente a la IP, sin pasar por el servicio de la mitigación.
Hay ocho métodos a través del cual los atacantes pueden obtener la dirección IP origen de un sitio

Como cinco investigadores de seguridad de Bélgica y los EE.UU. están reclamando, hay ocho métodos a través del cual estos servicios de mitigación pueden ser anuladas.

Cuatro de ellos ya han sido discutidas ampliamente después de Allison Nixon y Christopher Camejo ellos presentados en la conferencia de seguridad Sombrero Negro EE.UU. 2013, pero los investigadores también encontraron cuatro nuevos.

Las cuatro técnicas más antiguas de la obtención de la dirección IP de origen de una página web se basan en los hackers que buscan a través de bases de datos de tráfico web históricos, en los registros de DNS, subdominios que se resuelven en el dominio principal directamente, y el propio código fuente del sitio.

Además de estos, los investigadores también encontraron que el origen IP también puede ser descubierto cuando el sitio web principal provoca conexiones salientes, a través de los certificados SSL, a través de los archivos confidenciales alojados en el servidor del sitio web, y durante las operaciones de migración o de mantenimiento en el servicio de la mitigación del mismo, que deja el sitio web de destino expuesta temporalmente.

Durante sus estudios, los investigadores escanearon 17,877 sitios web durante seis meses, y se encontró que el 71,5% de los sitios reveló la dirección IP de origen, en la mayoría de los casos a través del subdominio FTP.

Introduzca CloudPiercer, un sistema de detección de origen-IP automática

Para ayudar a los webmasters a identificar problemas con sus propios sitios web, los investigadores ponen juntos CloudPiercer, una herramienta que compara una versión de la página web se obtiene a partir de la dirección IP real, con que se obtiene a través del servicio de mitigación nube.

“Mitigación completa de la exposición origen es difícil, ya que se requieren los administradores para entender completamente los riesgos potenciales y de forma global frente a todas las vulnerabilidades a fin de impedir totalmente que un atacante eludir la CBSP”, dicen los investigadores. “Sin embargo, una herramienta similar a CloudPiercer podría desplegarse por CBSPs para escanear de forma proactiva los dominios de sus clientes para los orígenes expuestos, crear conciencia y ayudar a los administradores solucionar vulnerabilidades específicas.”

Deja una respuesta