Conoce cómo el protocolo de enrutamiento RIPv1 se utiliza para realizar ataques de reflexión DDoS

La compañía Akamai que es líder en servicios de CDN (Red de Entrega de Contenidos) ha publicado una nueva advertencia de amenaza de ciberseguridad, y es que han detectado que el Protocolo de Información de Enrutamiento RIPv1 se está utilizando para realizar ataques de reflexión o amplificación DDoS.
RIPv1 está actualmente en desuso y se recomienda utilizar la segunda versión del protocolo, RIPv2, sin embargo aún muchos routers incorporan este protocolo de enrutamiento de pasarela interior para ofrecer la mayor compatibilidad posible con otros equipos que también usen esta versión.
RIP es uno de los protocolos de enrutamiento de pasarela interior (IGP) más utilizados mundialmente, sin embargo, la versión 1 de este protocolo es del año 1988 y actualmente existe una revisión de dicho protocolo (RIPv2) que incorpora nuevas características muy importantes. Algunas de las diferencias principales entre RIPv1 y RIPv2 es que la segunda versión es un protocolo sin clase (classless) para optimizar el uso de las direcciones IPv4, además permite la autenticación con el otro extremo de la comunicación, de tal forma que se puede autenticar que dos routers son quienes dicen ser y no se están comunicando con un usuario malintencionado.
RIP al ser un protocolo vector distancias, comparte de forma dinámica la información de ruta utilizando multicasting y broadcasting para llegar a todos los routers, y lo hace de forma continuada dependiendo de cómo esté configurado. Los atacantes utilizan RIPv1 para lanzar un ataque de reflexión DDoS debido a que es muy sencillo enviar una solicitud de emisión normal y la solicitud maliciosa enviarla como una solicitud unicast directamente al reflector, de esta forma el atacante puede alcanzar su objetivo provocando que la red se caiga. Realizar ataques DDoS simulados es una opción interesante.
Según las investigaciones del equipo PLXser, los atacantes prefieren routers con un gran volumen de rutas en la base de datos de RIPv1. Además la mayoría de los ataques reconocidos tuvieron solicitudes de un tamaño de 504 bytes cuando normalmente una solicitud típica de RIPv1 tiene 24 bytes por lo que los atacantes están amplificando este tamaño para inundar lo más rápido posible a su objetivo. El equipo estudió un ataque real contra un cliente de Akamai el pasado mes de mayo, y según sus investigaciones los dispositivos utilizados para el ataque de reflexión de RIP posiblemente no utilizaban hardware de enrutamiento de tipo empresarial.
Cómo mitigar esta amenaza de reflexión DDoS con RIPv1
Para evitar que se sigan realizando ataques de reflexión DDoS, es necesario cambiar a RIPv2 y habilitar la autenticación, asimismo también es recomendable utilizar una lista de control de acceso (ACL) para restringir el puerto UDP 520 desde Internet ya que este es el protocolo y puerto que utiliza el protocolo RIP.
Os recomendamos leer sobre qué es la tabla de enrutamiento en un router.