Ataques de amplificación

Son una serie de servicios que normalmente no deben ser expuestos a internet.

Se puede averiguar el servicio que está corriendo en un puerto a través del comando:

netstat -nputa | egrep ABC (siendo ABC el número del puerto, ej: 111)

Estos servicios deben apagarse por no representar ninguna utilizar el estar expuestos a internet y porque normalmente no son utilizados en servidores expuestos a internet. Ellos pueden ser:

  • DNS
  • NTP
  • SNMPv2
  • NetBIOS
  • SSDP
  • CharGEN
  • QOTD
  • BitTorrent
  • Kad
  • Quake Network Protocol
  • Steam Protocol
  • RIPv1
  • Multicast DNS (mDNS)
  • Portmap/RPC

Las siguientes acciones pueden tomarse para cada uno de estos servicios:

  1. Apagar el servicio:
    1. Sistemas utilizando service: service nombredelservicio stop; chkconfig nombredelservicio off
    2. Sistemas usando systemd: systemctl stop nombredelservicio; systemctl disable nombredelservicio
  2. Bloqueando las conexiones entrantes desde internet hacia nuestro servidor:
    1. iptables -I INPUT -p udp –dport 5353 -j DROP (o -p tcp si el servicio funciona en tcp)
  3. Desinstalando el servicio (debe tenerse cuidado no se borren también otros paquetes que se necesiten).