Un ataque DDoS masivo ataca servidores de juegos desde servidores NTP

Escrito por Rubén Velasco
Redes
0

2014 no empieza bien para varias desarrolladoras de juegos. En las últimas horas, un grupo de piratas informáticos está lanzando un ataque DDoS contra un considerable número de servidores de juegos online que ha llegado a alcanzar hasta los 100Gbps de tráfico, dejando el servidor totalmente inservible y fuera de servicio e impidiendo que los jugadores puedan conectarse a él para jugar. Estos ataques no han utilizado malware para ello sino que se ha aprovechado una vulnerabilidad en varios servidores NTP públicos.

Existen cientos de servidores NTP públicos accesibles para todos los usuarios y, por lo tanto, vulnerables y disponibles para realizar este tipo de ataques DDoS contra servidores. Los piratas informáticos están utilizando una vulnerabilidad detectada en los servidores NTP que permite realizar ataques DDoS contra este servicio bloqueando los dispositivos de las víctimas. Este tipo de ataques, que llevaba ya varios días contra varios hosts diferentes de la red, ha comenzado a ser mucho más agresivo y a tener como objetivo diferentes servidores de juego online.

Algunos de los servidores que han detectado problemas y han sido víctimas de este tipo de ataques en las últimas horas han sido los servidores de EA y los de Blizzard, que utilizan la plataforma Battle.net. Se han llegado a detectar picos de más de 100Gbps de tráfico durante estos ataques DDoS, dejando los servidores fuera de servicio y a los jugadores con la imposibilidad de conectarse.

El pirata informático envía un pequeño paquete UDP de 8 bytes a los servidores NTP vulnerables. Este paquete pide una gran cantidad de tráfico que será enviado hacia la dirección IP de la víctima constantemente realizando con ello el ataque DDoS propiamente dicho.

NTP_ataque_DDos_foto

Se recomienda a todos aquellos que utilicen un servidor NTP para controlar la hora de sus dispositivos actualizar a la versión 4.2.7 que ha corregido dicha vulnerabilidad añadiendo un módulo que confirme que la IP de destino es la misma que la IP del solicitante.

Fuente: The Hacker News