Tras el estudio preliminar de los ciberataques de denegación de servicio (DoS) y algunas de sus variantes, en este artículo se aborda cómo el protocolo CharGEN es utilizado como una herramienta para desarrollar un ciberataque DoS en su variante DrDoS.
CharGEN
El protocolo generador de caracteres, conocido como Character Generator Protocol (CharGEN), fue diseñado para tareas de depuración y medición. Permite comprobar el estado de las conexiones de una red, el correcto funcionamiento del buffer y las limitaciones electrónicas, además de verificar el ancho de banda y la calidad (QoS) de una red mediante el envío de un flujo constante de bytes.
CharGEN sigue las especificaciones de la RFC 864 y utiliza el puerto 19, funcionando tanto con los protocolos de transporte UDP y TCP. Aunque integrado en sistemas Unix como un demonio inetd o xinetd, no está activado por defecto. Al usar TCP, el servidor envía datos hasta que la sesión se cierra. Por UDP, el servidor envía datagramas con un número aleatorio de caracteres en respuesta a las peticiones.
Vector de ataque
El protocolo CharGEN, especialmente cuando se usa con UDP, es susceptible a ataques de denegación de servicio. Su vulnerabilidad es bien conocida y puede ser explotada por troyanos, siendo habitual en comunicaciones con impresoras, las que a menudo no se actualizan con rapidez.
Los ataques DrDoS CharGEN siguen un patrón similar a otros DrDoS. El atacante identifica servidores CharGEN públicos y, utilizando una botnet, envía peticiones con una dirección IP de origen falseada. Los servidores CharGEN intermedios devuelven respuestas amplificadas a la víctima, resultando en el colapso del equipo objetivo al no poder procesar el tráfico.
Prevención
Para verificar la exposición de un servidor CharGEN en Internet, se pueden buscar reglas en el firewall que permitan el puerto 19 UDP hacia el exterior o ejecutar el comando sudo nmap -sU -p19 [IP del servidor] -oG –
y comprobar si el puerto 19 está abierto.
Las medidas preventivas incluyen:
- Actualizar el software: Migrar a tecnologías más modernas y seguras.
- Protocolo de actuación: Definir pasos claros de respuesta ante incidentes DrDoS.
- Filtros antispoofing: Solicitar al proveedor de servicios para rechazar tráfico con direcciones falsas.
- Cortafuegos: Configurar para detectar y filtrar peticiones al puerto 19 con direcciones falseadas.
- Limitar visibilidad: Filtrar direcciones IP para evitar que el servidor sea público.
- Sistemas de detección y prevención: IDS/IPS para monitorización de conexiones y tráfico inusual.
- Monitorización de salud de equipos: Vigilar el uso de recursos para detectar intentos de ataques.
- Medidas de protección en hosting: Verificar y contratar servicios de mitigación ofrecidos por el proveedor de Internet o hosting.
Detección y evidencias
Para detectar el uso indebido de un dispositivo CharGEN en ataques DrDoS, se puede revisar la caché del dispositivo sospechoso y analizar actividades anómalas relativas al puerto 19. Implementar un sistema SIEM puede facilitar la identificación de estos ataques.
Respuesta y recomendaciones
Si se detecta un ataque DrDoS, las medidas a tomar incluyen:
- Identificar direcciones IP y puertos: Recopilar información para comunicar al ISP.
- Desconectar el dispositivo: Apagar o deshabilitar la tarjeta de red.
- Contactar al proveedor de Internet: Facilitar información para bloqueo de IPs y otras medidas.
- Bloquear tráfico no deseado: Aplicar filtros en firewalls y enrutadores.
- Asistencia técnica: Contactar con servicios técnicos o centros de respuesta a incidentes (CERT).
Posteriormente al ataque, se debe evaluar los daños y tomar medidas para prevenir futuros incidentes. Los ataques deben ser denunciados ante las autoridades competentes para investigaciones y posibles medidas legales.