¿Qué es una inundación WS-Discovery?

Una inundación WS-Discovery es un ataque de reflexión DDoS que utiliza el protocolo WS-Discovery para amplificar significativamente la fuerza del ataque. Los atacantes lanzan inundaciones WS-Discovery para sobrecargar servidores, sitios web, redes u otras máquinas con tráfico hasta provocar su ralentización o bloqueo. Las técnicas de amplificación empleadas en las inundaciones WS-Discovery permiten a los atacantes generar ataques masivos con pocos recursos y un mínimo esfuerzo.

Un ataque distribuido de denegación de servicio (DDoS) es un ciberataque en el que los hackers se hacen con el control de miles o millones de máquinas infectadas por malware, como ordenadores o dispositivos del IoT, y las utilizan para enviar tráfico y solicitudes a un objetivo o una víctima; por lo general, un servidor. Cuando trata de interpretar o responder a la enorme cantidad de solicitudes, el servidor objetivo se sobrecarga y se ralentiza o se bloquea. Como resultado, un ataque DDoS puede cerrar sitios web, redes y organizaciones durante un periodo de tiempo.

En un ataque de reflexión, los atacantes suplantan las direcciones IP de destino utilizando la dirección IP de la víctima o del servidor objetivo al consultar a otro servidor mediante el envío de solicitudes de paquetes. Cuando el sistema consultado responde a la solicitud de paquete, las respuestas se dirigen a los equipos de la víctima en lugar de a los atacantes. Esta técnica permite que el tráfico DDoS se "refleje" a través de otros equipos, en lugar de enviar tráfico directamente a un objetivo.

Para amplificar sus esfuerzos, los atacantes tratan de reflejar el tráfico en las máquinas que ofrecen una respuesta mucho mayor que la solicitud inicial. En estos ataques de amplificación, los atacantes pueden utilizar un número relativamente pequeño de paquetes iniciales y gastar pocos recursos para generar cantidades masivas de tráfico que contienen grandes volúmenes de datos, lo que sobrecarga las máquinas objetivo de forma más rápida y sencilla.

La detección dinámica de servicios web (WS-Discovery o WSD) es un protocolo de comunicaciones multidifusión diseñado para detectar dispositivos en redes locales. WS-Discovery utiliza el protocolo de datagramas del usuario (UDP), uno de los protocolos de transporte principales para las comunicaciones de Internet, aunque también puede aprovechar el protocolo de control de transmisión (TCP). Los dispositivos compatibles con WSD, como cámaras IP, DVR, altavoces, etc., emiten balizas para facilitar la detección y las conexiones entre dispositivos. Por ejemplo, un DVR puede utilizar el protocolo WSD para detectar cámaras IP cercanas con las que se puede comunicar. Aunque no es un protocolo ampliamente conocido, la ONVIF, una organización que promueve interfaces estandarizadas para aumentar la interoperabilidad de los productos de red, ha adoptado WS-Discovery. Como resultado, el protocolo WSD está ahora incluido en cientos de miles de productos en todo el mundo.

Inicialmente, el protocolo WSD estaba destinado a limitarse a las redes de área local (LAN). Conforme los fabricantes producían hardware que incorporaba el servicio WSD y los usuarios implementaban el hardware en Internet, los atacantes encontraban un nuevo vector de ataque para la reflexión de DDoS.

Un ataque DDoS de reflexión WS-Discovery aprovecha una vulnerabilidad del protocolo UDP/TCP. Como UDP es un protocolo sin estado, resulta fácil para los atacantes falsificar una dirección IP al enviar solicitudes a otros dispositivos. Esto permite a los atacantes dirigir grandes cantidades de tráfico desde los dispositivos WS-Discovery al objetivo de sus ataques DDoS. Aunque TCP es un protocolo orientado a la conexión o al estado, se puede aprovechar como parte de ataques WSD y suplantaciones de IP.

Los ataques de inundación WS-Discovery son tan potentes porque la respuesta de WSD es mucho mayor que la solicitud inicial. Los pequeños paquetes iniciales enviados a un dispositivo WS-Discovery pueden generar respuestas 75–150 veces mayores. Varios ataques han llegado a mostrar tasas de amplificación de 300 y 500 veces. Esto es significativamente mayor que otros ataques de protocolo UDP que tienden a tener un factor de amplificación promedio de 10.

Además, los ataques DDoS de inundación WS-Discovery son difíciles de identificar. El protocolo responde con puertos altos aleatorios y cargas de datos únicas que dificultan el reconocimiento y la mitigación del ataque. Asimismo, debido al tamaño de la amplificación y la reflexión, en el momento en que el ataque se dirige a los sistemas o servicios de origen, los enlaces ascendentes de Internet ya están saturados y se pierde la capacidad de detección y mitigación.