Entendiendo el tráfico de blowback: riesgos y implicaciones
El tráfico de blowback presenta desafíos para los investigadores y puede amplificar ataques.
― 8 minilectura
Tabla de contenidos
- La Escala del Blowback
- Implicaciones del Tráfico de Blowback
- Cómo se Genera el Tráfico de Blowback
- Qué Ocurre Durante los Escaneos
- Estabilidad de los Generadores de Blowback
- Niveles de Actividad de los Generadores de Blowback
- La Distribución Geográfica del Blowback
- Tipos de Paquetes de Respuesta
- La Presencia de Bucles de Enrutamiento
- Patrones de Tiempo de las Respuestas de Blowback
- Evaluando la Amenaza de Ataques de Blowback
- Conclusión
- Fuente original
El tráfico de blowback se refiere a una situación en la que una sola solicitud enviada a un objetivo genera muchos paquetes en respuesta. Este fenómeno es clave para entender porque los atacantes pueden usarlo para amplificar sus ataques. Al redirigir las respuestas, pueden abrumar a una víctima con tráfico no deseado. Para los investigadores que estudian Internet, el blowback crea desafíos ya que sus experimentos pueden verse afectados por la repentina ola de paquetes de respuesta.
La Escala del Blowback
Investigaciones han mostrado que muchos hosts en Internet pueden generar tráfico de blowback. Algunos protocolos pueden llevar a cientos de miles de respuestas de una sola prueba. En ciertos casos, una prueba puede resultar en millones de paquetes enviados de vuelta. Una vez que se envía una solicitud, el blowback puede ser significativo, creando problemas para cualquiera que intente recopilar datos precisos.
Después de sondear una dirección IP específica, enviamos un solo paquete TCP a una dirección, lo que llevó a recibir más de 32,000 paquetes de respuesta en poco más de dos segundos. Este tráfico vino no solo de la dirección objetivo, sino de varias otras direcciones. Repetir este proceso varias veces durante unas pocas semanas reveló un patrón constante de respuestas de blowback.
Implicaciones del Tráfico de Blowback
El tráfico de blowback puede ser un dolor de cabeza para los investigadores que escanean Internet. Tienen que diseñar sus herramientas de medición para lidiar con estos estallidos de tráfico, filtrando las respuestas de blowback para enfocarse en datos relevantes. Sin embargo, el problema es más serio que solo ser una molestia; el tráfico generado por el blowback puede ser incorporado en ataques de denegación de servicio distribuidos (DDos).
Cuando investigadores y atacantes identifican objetivos que desencadenan blowback, pueden explotar estos hosts para dirigir grandes cantidades de tráfico hacia una víctima. Este efecto de amplificación puede aumentar significativamente el impacto de un ataque, haciendo del blowback no solo una curiosidad, sino una amenaza potencial.
Cómo se Genera el Tráfico de Blowback
Para estudiar el blowback, los investigadores realizaron escaneos del espacio de direcciones IPv4, enviando varios tipos de solicitudes y registrando las respuestas. Usaron una herramienta llamada zmap para enviar Sondas y tcpdump para capturar paquetes entrantes. El objetivo era hacer coincidir las sondas salientes con las respuestas recibidas.
Se usaron diferentes tipos de sondas, incluyendo consultas DNS, solicitudes de eco ICMP y paquetes TCP SYN. No se esperaba que los tipos de sondas generaran múltiples respuestas, lo que hace que el fenómeno de blowback sea aún más intrigante. Los investigadores llevaron a cabo escaneos completos de las direcciones IPv4 para identificar generadores de blowback, o BBGs. Una vez identificados estos BBGs, realizaron varios escaneos de seguimiento para observar cómo cambiaba el comportamiento de blowback con el tiempo.
Qué Ocurre Durante los Escaneos
Se realizó un escaneo completo de Internet utilizando técnicas de sondeo específicas. Se establecieron las tasas de varios escaneos, y se monitoreó el tráfico entrante durante un tiempo determinado. Después de completar estos escaneos, los investigadores emparejaron las sondas salientes con las respuestas entrantes para analizar los generadores de blowback.
Identificaron que un pequeño número de hosts generaba una cantidad desproporcionada de tráfico de blowback. Para algunos protocolos, miles de hosts eran responsables de enviar de vuelta un volumen significativo de paquetes. Esta distribución desigual de respuestas indica que ciertas direcciones IP tienen más probabilidades de estar involucradas en el tráfico de blowback.
Estabilidad de los Generadores de Blowback
Uno de los hallazgos interesantes de los estudios fue la consistencia de los generadores de blowback. Una vez identificados, muchos de estos hosts continuaron generando tráfico de blowback durante varias semanas. Esta estabilidad significa que tanto atacantes como investigadores pueden confiar en ciertos hosts para producir paquetes de blowback repetidamente.
Si bien la estabilidad varió entre los tipos de sondas, algunos tipos mostraron un alto nivel de consistencia. Los investigadores observaron que, con el tiempo, algunos BBGs dejaron de generar blowback, mientras otros continuaron respondiendo, aunque con menos paquetes. Esta rotación entre BBGs revela que algunos se vuelven inactivos mientras otros persisten, lo que indica la necesidad de reevaluar continuamente los objetivos potenciales.
Niveles de Actividad de los Generadores de Blowback
Los niveles de actividad de los generadores de blowback también variaron ampliamente. Algunos hosts producirían innumerables paquetes en respuesta a una sonda, mientras que otros responderían con solo unos pocos. Entender la distribución de la actividad ayuda a los investigadores a identificar qué hosts son los más propensos a generar altos niveles de tráfico de blowback.
Los hallazgos mostraron que muy pocos generadores eran responsables de la mayor parte del blowback. Esta distribución desigual crea oportunidades para los atacantes, ya que pueden lograr un impacto significativo con un esfuerzo mínimo al apuntar a estos generadores prolíficos.
La Distribución Geográfica del Blowback
Los investigadores también indagaron sobre de dónde provenía el tráfico de blowback, examinando tanto orígenes geográficos como a nivel de red. Encontraron que ciertos países y sistemas autónomos producían volúmenes más altos de blowback que otros. Por ejemplo, algunos protocolos mostraron que un país en particular era una fuente dominante de tráfico de blowback.
Identificar estos orígenes ayuda a entender la infraestructura detrás del tráfico de blowback, incluyendo posibles errores de configuración en redes locales. Por ejemplo, un país podría producir un alto volumen de paquetes de respuesta mientras que otro muestra mucha menos actividad, a pesar de tener más hosts.
Tipos de Paquetes de Respuesta
Numerosos paquetes de respuesta se generan como parte del tráfico de blowback, a menudo en formas que difieren de las respuestas esperadas. Muchas respuestas son simplemente mensajes de error ICMP que indican problemas como "Destino Inalcanzable." Sin embargo, los investigadores notaron que había más mensajes ICMP inesperados, como "TTL Expirado," que indican posibles errores de configuración en el enrutamiento.
Al analizar los tipos de respuestas recibidas, los investigadores pudieron obtener información sobre qué tan a menudo surgen estas situaciones y qué podrían indicar sobre la salud general de la red.
La Presencia de Bucles de Enrutamiento
En su análisis del tráfico de blowback, los investigadores descubrieron una sorprendente cantidad de bucles de enrutamiento. Un bucle de enrutamiento ocurre cuando los paquetes de datos circulan repetidamente a través de los mismos enrutadores. Esta situación puede llevar al envío excesivo de paquetes de respuesta, contribuyendo al fenómeno de blowback.
La presencia de estos bucles puede señalar errores de configuración u otros problemas en las redes de las que provenía el tráfico de blowback. Este hallazgo resalta la necesidad de que los operadores de red aborden posibles problemas en sus configuraciones de enrutamiento.
Patrones de Tiempo de las Respuestas de Blowback
Las respuestas de blowback pueden variar significativamente en términos de tiempo. Algunos generadores producen respuestas rápidamente, mientras que otros pueden tener estallidos de actividad durante períodos más largos. Entender los patrones de tiempo ayuda a los investigadores y operadores de red a anticipar y gestionar los impactos del tráfico de blowback.
Al analizar el tiempo de respuesta, los investigadores pueden discernir el blowback de otros tipos de tráfico y desarrollar mejores estrategias para mitigar sus efectos.
Evaluando la Amenaza de Ataques de Blowback
Dada la potencial amplificación creada por el tráfico de blowback, los investigadores evaluaron el riesgo de posibles ataques que aprovechen este fenómeno. Evaluaron el ancho de banda que un atacante podría alcanzar al sondear generadores de blowback mientras suplantaba la dirección IP de la víctima. Este enfoque permitiría al atacante redirigir el blowback hacia su objetivo deseado.
A través de simulaciones, los investigadores demostraron que al enviar un número relativamente pequeño de paquetes, un atacante podría desencadenar enormes respuestas de blowback, llevando a una posible denegación de servicio contra una víctima.
Conclusión
El tráfico de blowback es un fenómeno complejo con implicaciones significativas para la seguridad de Internet y los esfuerzos de investigación. Entender el blowback ayuda a los investigadores a lidiar con explosiones inesperadas de tráfico mientras también revela vulnerabilidades potenciales que los atacantes pueden explotar. El estudio del blowback apenas ha comenzado, y se necesitará más investigación para comprender completamente su impacto y desarrollar estrategias efectivas para gestionar y mitigar sus efectos en Internet.
Título: On Blowback Traffic on the Internet
Resumen: This paper considers the phenomenon where a single probe to a target generates multiple, sometimes numerous, packets in response -- which we term "blowback". Understanding blowback is important because attackers can leverage it to launch amplified denial of service attacks by redirecting blowback towards a victim. Blowback also has serious implications for Internet researchers since their experimental setups must cope with bursts of blowback traffic. We find that tens of thousands, and in some protocols, hundreds of thousands, of hosts generate blowback, with orders of magnitude amplification on average. In fact, some prolific blowback generators produce millions of response packets in the aftermath of a single probe. We also find that blowback generators are fairly stable over periods of weeks, so once identified, many of these hosts can be exploited by attackers for a long time.
Autores: Dallan Goldblatt, Calvin Vuong, Michael Rabinovich
Última actualización: 2023-05-09 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2305.04434
Fuente PDF: https://arxiv.org/pdf/2305.04434
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.