Enorme ataque DDoS hace más lenta la Internet en Europa [Archivo] - HACK HiSPANO - Foros de seguridad informática y hacking.

LUK

02-04-2013, 11:46

Internet en el mundo se puso más lento en Europa gracias a lo que expertos en seguridad están llamando el “mayor ciberataque de la historia”, asunto que está teniendo repercusiones en múltiples servicios, que demoran más de lo normal en cargar, y que según expertos podría afectar a sistemas bancarios y de correo electrónico.

El ataque está siendo investigado por ciber-policías de varios países.

Por si hacen falta más datos, el diario El Mundo (http://www.elmundo.es/accesible/elmundo/2013/03/27/navegante/1364407133.html) alerta que la velocidad de Internet se ha visto disminuida debido al conflicto entre Spamhaus y Cyberbunker, llegando a afectar a servicios tan populares como Netflix.

El asunto comenzó con las acciones de una organización sin fines de lucro llamada Spamhaus (http://www.spamhaus.org/), dedicada a ayudar a los proveedores de correo electrónico a filtrar spam y correos no deseados. Para hacer esto, mantiene una lista de bloqueo (http://www.spamhaus.org/rokso/), es decir, una base de datos de servidores que se sabe que están siendo usados para enviar correo basura.

Recientemente, Spamhaus agregó a su lista algunos servidores mantenidos por Cyberbunker, un proveedor de hosting holandés que asegura que almacena lo que sea, excepto pornografía infantil o material terrorista. Un vocero de Cyberbunker, Sven Olaf Kamphius, declaró al New York Times (http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html?pagewanted=all&_r=0) que Spamhaus estaba abusando de su rol al incluirlos en su lista anti-spam y que no debía permitírsele decidir qué va y qué no va en Internet. En definitiva, que servicios como Cyberbunker deberían tener permiso para hacer spam.

Acto seguido, Spamhaus comenzó a recibir un gigantesco ataque de denegación de servicio (DDoS) en “venganza”, que superó todos los récords conocidos hasta el momento, generando tráfico de hasta 300 Gbps, de acuerdo al periódico. Un ataque típico normalmente es cinco veces menor.
Amplificación de DNS

Para lograr ese enorme tráfico, que colapsa las redes en Internet afectando de paso a otros servicios, los atacantes utilizaron una táctica conocida como “amplificación de DNS”.

Como se sabe, los servidores DNS son los directorios que traducen un nombre de dominio, como fayerwayer.com a una dirección IP como 54.243.163.47. Los servidores DNS también reciben peticiones para encontrar a determinados dominios. Cuando un servidor abierto recibe una solicitud para un dominio para el cual no tiene autoridad, escala la petición al servidor raíz, para intentar encontrar la dirección del servidor DNS al que se le puede realizar la petición. La solicitud puede dar varios saltos por diferentes servidores hasta llegar al origen.

Los atacantes aprovechan este comportamiento del servidor DNS para falsificar una solicitud, usando como dirección de origen la IP del sitio al que quieren atacar. De este modo, todos los servidores DNS a los que se les envíe la consulta falsificada, responderán contactando a la IP que aparece en los datos, amplificando el ataque e inundando con solicitudes a un sitio específico. A través de este ataque, una solicitud que necesita muy poco ancho de banda para enviarse, se magnifica múltiples veces aumentando el tráfico hasta 70 veces al sitio que se está atacando.

De esta manera, Spamhaus comenzó a recibir paquetes basura desde servidores DNS en todo el mundo. Este tipo de ataques no se puede detener fácilmente, porque no puedes simplemente apagar un servidor de DNS – si lo haces, parte de Internet se queda sin funcionar. Esas máquinas deben estar abiertas públicamente para que Internet funcione, de modo que la única manera de detener el ataque es detener a las personas que lo lanzan.

El CEO de Spamhaus, Steve Linford, declaró a la BBC (http://www.bbc.co.uk/news/technology-21954636) que el ataque se ha mantenido por más de una semana, aunque parte ya se pudo controlar gracias a la ayuda a Cloudflare, que explicó algunos detalles del ataque en un post (http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho).

Esta vulnerabilidad de los servidores DNS lleva mucho tiempo de existencia, pero hasta ahora no había sido explotada tan masivamente. Así, si bien el ataque comenzó hace más de una semana y la organización logró superar el shock inicial para continuar funcionando, el DDoS sigue adelante y no está claro cuándo irá a detenerse. De todos modos, se pone en relevancia una vulnerabilidad que necesita ser reparada para evitar que se repita.

Links:
- Online dispute becomes internet-snarling attack (http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html?pagewanted=all&_r=0) (NYTimes)
- Global internet slows after “biggest attack in history” (http://www.bbc.co.uk/news/technology-21954636) (BBC)
- How whitehats stopped the DDoS attack that knocked Spamhaus offline (http://arstechnica.com/security/2013/03/how-whitehats-stopped-the-ddos-attack-that-knocked-spamhaus-offline/) (Ars Technica)

LUK

02-04-2013, 11:49

A continuación, una explicación mas detallada de lo que paso redactada por Jesús Pérez (https://twitter.com/chusop) en SbD:

¿Has notado que algunas páginas web funcionaban más lentas estos días, especialmente si vives en Londres? Pues yo no, pero dicen que sí. Algunas de las fuentes que lo aseguran tienen intereses comerciales en exagerar el caso, pero no es a lo que vamos.

Lo que vamos a ver es qué pasó entre CyberBunker y Spamhaus y el que algunos ya califican como el mayor ataque DDoS de la historia.

Qué ha sucedido

Hace poco más de una semana, el 18 de marzo, Spamhaus, servicio líder en la lucha contra el spam, se puso en contacto con CloudFlare, un CDN (servicio de distribución de contenidos) especializado en mitigar ataques, para pedirles ayuda con un ataque DDoS que estaban recibiendo, por aquel entonces de 10 Gb/s. A partir de ese momento, CloudFlare pasó a recibir las peticiones dirigidas a Spamhaus, pudiendo mitigar el ataque inicial a través de su red de anycast (http://es.wikipedia.org/wiki/Anycast).

Según CloudFlare, el ataque inicial fue de unos 75 Gb/s, que entra dentro de lo que su red y su plan de tarifas con sus proveedores Tier-2 prevé y no necesitaron tomar ninguna medida especial para mitigarlo, así que se dedicaron a «dejarlo estar y ver qué podían aprender».
Pero en vista de que el ataque dejaba de tener efecto, los atacantes fueron subiendo la intensidad, lo que a su vez fue provocando que las consecuencias del ataque fuesen escalando niveles. A medida que el ataque subía a 120 Gb/s el día 22 hasta llegar finalmente a 300 Gb/s (siempre según datos de CloudFlare) las consecuencias empezaban a notarse en el Tier-2 (http://en.wikipedia.org/wiki/Tier_2_network) e incluso en el Tier-1 (http://en.wikipedia.org/wiki/Tier_1_network).

Además de aumentar de intensidad, el ataque empezó a diversificar también sus objetivos apuntando hacia los puntos neutros (http://es.wikipedia.org/wiki/Punto_neutro). Los puntos neutros son puntos de interconexión entre distintas redes. Si consiguen tirar un punto neutro, o incluso si consiguiesen tirar un Tier, las consecuencias podrían ser más que notables. Por suerte, parece que «solo» consiguieron congestionar el punto neutro de Londres en algún momento, al parecer, debido a una configuración demasiado permisiva del punto neutro. Otros puntos neutros atacados fueron los de Amsterdam, Fráncfort y Hong Kong. ESPANIX es el punto neutro de España, que se encuentra en Madrid y por lo visto no ha sido atacado o no de forma notable.

Hay que tener en cuenta que hasta aquí son datos proporcionados por CloudFlare, que es la empresa contratada por Spamhaus para mitigar el ataque y por lo tanto podría tener intereses comerciales en exagerarlo. Aunque McAfee reconoce que sí que es posible que los usuarios particulares se hayan visto afectados.

Ahora vamos a una parte que para mí es algo más interesante, el porqué.

¿Quién está detrás del ataque y cuál es su motivación?

Bueno, teniendo en cuenta que Spamhaus es la organización que administra las listas negras de spammers más populares, no es difícil encontrarles enemigos. Especialmente teniendo en cuenta que los spammers no suelen ser las personas más diplomáticas cuando se les cabrea.

Una organización implicada en turbios negocios con la que Spamhaus no tiene precisamente una relación muy cordial es CyberBunker.

CyberBunker es un data haven o paraíso de datos. Sí, el término proviene de una analogía con los paraísos fiscales, pues los data haven son servidores que alojarán tus datos sin reparar en la condición legal de los mismos, el único pero que pone CyberBunker es a la pornografía infantil o el terrorismo, fuera de eso, lo que quieras.
El nombre de CyberBunker también tiene su explicación y es que su datacenter es un antiguo refugio nuclear de la OTAN en Holanda y en su página web se jactan de haber sido capaces de resistir un intento de redada (http://www.cyberbunker.com/web/swat.php) por parte de los SWAT.

Entre los clientes más famosos de CyberBunker se encuentran The Pirate Bay, que en un principio no tendría que tener problemas con Spamhaus, y la Russian Business Network.
La Russian Business Network, definida por la empresa de seguridad VeriSign como «lo peor de lo peor», es una potente organización de cibercrimen oficialmente desarticulada por el FBI, aunque realmente es difícil definir si se ha disuelto o no al no ser un grupo legalmente constituido y se cree que sigue en activo desde China con un perfil de actividad más bajo. Algo así como los GRAPO de Internet, vaya.

Entre sus líneas de negocio, la más exitosa fue una con la que seguro que nos hemos encontrado alguna vez: los falsos antivirus que te alertaban de imaginarias amenazas que habían infectado tu ordenador para instarte a comprar la versión de pago que te desinfectaría, cuando lo que en realidad hacía esa versión de pago era instalarte un troyano. Sí, les estabas pagando para que te instalaran un troyano, los de RBN se lo habían montado bien, aunque no dejaba de resultar gracioso cuando estabas en Linux y te salía una ventana del navegador imitando a la de Windows XP diciéndote que tenías un virus en C:\WINDOWS\System32

http://3.bp.blogspot.com/-tL6PdlCWGTc/UVOVdNVkcYI/AAAAAAAAAVc/kioFOSccNAs/s320/malwarealarm.png (http://3.bp.blogspot.com/-tL6PdlCWGTc/UVOVdNVkcYI/AAAAAAAAAVc/kioFOSccNAs/s1600/malwarealarm.png)
Fuente: SpywareRemove.com (http://www.spywareremove.com/removeMalwareAlarm.html)

Pero además, RBN también vendía servicios de spam, lo que acabó llevando a que al final se las tuvieran que ver con Spamhaus. Y Spamhaus, claro, por mucho que solicitara a CyberBunker que le cerraran el grifo a RBN, no tenían pensado hacerlo porque eso iría en contra de su política de «(casi) todo vale». Así que Spamhaus se fue al siguiente nivel decidió incluir a CyberBunker como organización proveedora de servicios de spam y acudió al carrier de CyberBunker, A2B, para que les cerraran el grifo. A2B tampoco cedió y finalmente Spamhaus incluyó a todo A2B en su lista negra como medida de presión, por lo que A2B acabó cediendo y desenchufó a CyberBunker, aunque posteriormente inició un pleito contra Spamhaus por extorsión

La cosa parecía que había quedado en el olvido y todo volvió a la situación inicial, hasta este mes de marzo en el que Spamhaus volvió a incluir a CyberBunker en su lista negra y poco después empezó el ataque DDoS. Por si todavía teníamos alguna sombra de duda de que detrás del ataque estaba CyberBunker, The New York Times ha citado a un portavoz afirmando que sí, que son ellos y lo hacen como represalia. Posteriormente diría en Facebook que sus palabras habían sido manipuladas y que CyberBunker no estaba detrás de los ataques. En cualquier caso, más tarde, el máximo responsable de CyberBunker acabaría reconociendo en una entrevista (http://rt.com/news/spamhaus-threat-cyberbunker-ddos-attack-956/) a Russia Today que sí que habían atacado a Spamhaus.

Y ahora vamos con la parte que más nos interesa, ¿verdad? Cómo lo han hecho.

Cómo se hizo el ataque a Spamhaus

El ataque ha sido un tipo de ataque smurf conocido como amplificación DNS. Los ataques smurf, palabra con la que son conocidos en inglés los pitufos, son un tipo de ataque en el que enviando una pequeña cantidad de tráfico consigues que llegue mucho más tráfico a la víctima. El ejemplo típico es aquel en el que quieres atacar un equipo de tu misma red y para llevarlo a cabo haces ping a la dirección de broadcast haciendo spoofing de la dirección IP de origen para que las respuestas vayan dirigidas a tu víctima. Así, si en tu red hay conectados 10 equipos y envias un paquete ICMP request a la dirección de broadcast con la dirección IP de la víctima, esta recibirá 10 respuestas ICMP reply. Si repetimos esta operación 1.000 veces, la víctima recibirá 10.000 paquetes. Este es el ejemplo más simple de ataque smurf que hoy en día ya no es útil, empezando por el hecho de que muchos equipos ya no responden a los pings broadcast.

Hay que tener en cuenta que el tipo de paquete que se use para este ataque tiene que ser ICMP, UDP o cualquier otro protocólo no orientado a estado y sin handshake. No se podría usar TCP porque los paquetes mantienen información sobre el estado de la conexión y para establecer una conexión es necesario llevar a cabo el handshake SYN-SYN/ACK-ACK.

En el caso de amplificación DNS, el smurfing se consigue fácilmente ya que una petición de unos pocos bytes puede llegar a originar una respuesta de varios kilobytes.

Un ejemplo de una petición de 38 bytes que genera una respuesta de 7129 bytes:

# dig AXFR fsf.org @ns1.gnu.org
; <<>> DiG 9.9.2 <<>> AXFR fsf.org @ns1.gnu.org
;; global options: +cmd
fsf.org. 300 IN SOA ns1.gnu.org. hostmaster.gnu.org. 2941143631 3600 300 3600000 3600
fsf.org. 300 IN SSHFP 1 1 DC991327D1B7B418F14CE737B934AA56C389E688
fsf.org. 300 IN NS ns1.gnu.org.
fsf.org. 300 IN NS ns2.gnu.org.
fsf.org. 300 IN NS ns3.gnu.org.
fsf.org. 300 IN A 208.118.235.131
fsf.org. 300 IN MX 10 mail.fsf.org.
fsf.org. 300 IN TXT "v=spf1 redirect=gnu.org"
20120905-shop.fsf.org. 300 IN A 208.118.235.166
20121109-crm.fsf.org. 300 IN A 18.4.89.43
20121121-gtd.fsf.org. 300 IN A 18.4.89.44
20121211-shop.fsf.org. 300 IN A 18.4.89.45
20130326-rmstalk.fsf.org. 300 IN A 18.4.89.47
_jabber._tcp.fsf.org. 300 IN SRV 0 0 5269 jabber.fsf.org.
_xmpp-client._tcp.fsf.org. 300 IN SRV 0 0 5222 jabber.fsf.org.
_xmpp-server._tcp.fsf.org. 300 IN SRV 0 0 5269 jabber.fsf.org.
_iax._udp.fsf.org. 300 IN SRV 0 0 4569 watson.fsf.org.
_sip._udp.fsf.org. 300 IN SRV 0 0 5060 watson.fsf.org.
agia.fsf.org. 300 IN SSHFP 1 1 5FB1892287CD94E8F93D1AFD1022FA023C99C59E
agia.fsf.org. 300 IN A 208.118.235.42
agilus.fsf.org. 300 IN SSHFP 1 1 5FB1892287CD94E8F93D1AFD1022FA023C99C59E
agilus.fsf.org. 300 IN A 208.118.235.40
agpl.fsf.org. 300 IN A 208.118.235.30
airhorn.fsf.org. 300 IN SSHFP 1 1 312D246983E4A1A30C305E74BF63B66B870F1828
airhorn.fsf.org. 300 IN A 18.4.89.38
ar.fsf.org. 300 IN CNAME fsf.org.
archive.fsf.org. 300 IN SSHFP 1 1 CEE042FBDD9D25E0B908E97BA062DE15B5E8F3D0
archive.fsf.org. 300 IN A 140.186.70.49
autoconfig.fsf.org. 300 IN A 208.118.235.30
badvista.fsf.org. 300 IN CNAME www.badvista.org.
balance.fsf.org. 300 IN SSHFP 1 1 73C986274EC452C87322CCB74A298B2F953A1B25
balance.fsf.org. 300 IN A 208.118.235.84
beeblebrox.fsf.org. 300 IN SSHFP 1 1 92480D5F8EF347C606466C201AED4E65470F48E1
beeblebrox.fsf.org. 300 IN A 208.118.235.156
bitcoin.fsf.org. 300 IN SSHFP 1 1 4BE26E7576FF9E44A2D5414E3BB9ACE3D69A8D06
bitcoin.fsf.org. 300 IN A 208.118.235.153
blacklist.fsf.org. 300 IN A 208.118.235.31
blag.fsf.org. 300 IN SSHFP 1 1 8E523AD73730542A83D6530F5AF3025B2B13178D
blag.fsf.org. 300 IN A 140.186.70.66
brains.fsf.org. 300 IN SSHFP 1 1 5C7214CFE98BEB5DC7B20029571CA60E33ECC20D
brains.fsf.org. 300 IN A 208.118.235.83
campaigns.fsf.org. 300 IN CNAME lists.fsf.org.
cas.fsf.org. 300 IN SSHFP 1 1 58B2946B30E326D659DFDB541EEFFF869EF1B6FA
cas.fsf.org. 300 IN A 208.118.235.81
catalyst.fsf.org. 300 IN SSHFP 1 1 AD29EC9C580C06EDA3760E9BA0430A676752739E
cloud9.fsf.org. 300 IN SSHFP 1 1 6DB8E73FB19C2B9A49359499A5D73CD1F2CB4C46
cloud9.fsf.org. 300 IN A 208.118.235.65
colonialone.fsf.org. 300 IN SSHFP 1 1 A2E0072040D638AA2A6E6844DBABB2DEB1B299DA
colonialone.fsf.org. 300 IN A 140.186.70.51
columbia.fsf.org. 300 IN SSHFP 1 1 1B65AF17A1E081C918AD086F12FDAD7797C5E858
columbia.fsf.org. 300 IN A 18.4.89.21
conference.fsf.org. 300 IN CNAME jabber.fsf.org.
config.fsf.org. 300 IN SSHFP 1 1 F4F57783AAFD0280DD50E61AF369644BBE09A60C
config.fsf.org. 300 IN A 18.4.89.41
crm.fsf.org. 300 IN SSHFP 1 1 9AA6ED947AF2C56AE4C04BA7E952985CAD7E2BF0
crm.fsf.org. 300 IN A 208.118.235.96
crm-dev.fsf.org. 300 IN SSHFP 1 1 54F1F6A8874FE27905BD2E24A724CFB59F0FA330
crm-dev.fsf.org. 300 IN SSHFP 1 1 9AA6ED947AF2C56AE4C04BA7E952985CAD7E2BF0
crm-dev.fsf.org. 300 IN A 18.4.89.35
crm-mail.fsf.org. 300 IN CNAME 20121109-crm.fsf.org.
cy.fsf.org. 300 IN CNAME fsf.org.
dbd.fsf.org. 300 IN SSHFP 1 1 38452C99C77E8F8DEA498CCA301520FF212AB107
dbd.fsf.org. 300 IN SSHFP 1 1 A5D95BE68755CE8E497930EF987CA4F57526481C
dbd.fsf.org. 300 IN A 140.186.70.139
dbd-old.fsf.org. 300 IN A 140.186.70.32
de.fsf.org. 300 IN CNAME fsf.org.
dirac.fsf.org. 300 IN SSHFP 1 1 F7AE73C0172FAC80B689998D5C6E8C3FF3F1DAB4
dirac.fsf.org. 300 IN A 140.186.70.130
directory.fsf.org. 300 IN SSHFP 1 1 9DE5721C6B092FF13E4B59C8B97575547775E6AD
directory.fsf.org. 300 IN A 46.43.37.72
directory-dev.fsf.org. 300 IN SSHFP 1 1 1E3DB688E75D80B8D6268263FE73E68A
directory-dev.fsf.org. 300 IN SSHFP 1 1 9DE5721C6B092FF13E4B59C8B97575547775E6AD
directory-dev.fsf.org. 300 IN A 208.118.235.147
directory-old.fsf.org. 300 IN CNAME sycophant.fsf.org.
directory-p.fsf.org. 300 IN SSHFP 1 1 421893830CB8B8DE7787ADDC1E88946154DAEA76
directoryng-dev.fsf.org. 300 IN SSHFP 1 1 16B1A60475F9FC02E34F0B4881FC1CED9695B75D
directoryng-dev.fsf.org. 300 IN A 140.186.70.94
donate.fsf.org. 300 IN CNAME member.fsf.org.
edit.fsf.org. 300 IN A 208.118.235.136
en.fsf.org. 300 IN CNAME fsf.org.
es.fsf.org. 300 IN CNAME fsf.org.
esp.fsf.org. 300 IN SSHFP 1 1 61E726B0BFF9A586A26BC18B439ECFC5994D945F
etherpad.fsf.org. 300 IN SSHFP 1 1 611CE5754202D6B9DC14ECA7E4F816858DBEF6ED
etherpad.fsf.org. 300 IN A 18.4.89.39
fr.fsf.org. 300 IN CNAME fsf.org.
freesoftware.fsf.org. 300 IN CNAME subversions-ssh.gnu.org.
bugs.freesoftware.fsf.org. 300 IN CNAME bugs.gnu.org.
cvs.freesoftware.fsf.org. 300 IN CNAME subversions.gnu.org.
ftp.freesoftware.fsf.org. 300 IN CNAME ftp.gnu.org.
mail.freesoftware.fsf.org. 300 IN A 140.186.70.92
mail.freesoftware.fsf.org. 300 IN MX 10 mail.fsf.org.
www.freesoftware.fsf.org. 300 IN CNAME wildebeest.gnu.org.
fs.fsf.org. 300 IN CNAME wildebeest.gnu.org.
fsfla-data.fsf.org. 300 IN A 200.171.183.140
gemini.fsf.org. 300 IN SSHFP 1 1 0C54EC3A725EA4567C995E081553FFD0EDBE4F3B
gemini.fsf.org. 300 IN A 46.43.37.68
gnupress.fsf.org. 300 IN CNAME www.gnupress.org.
www.gnupress.fsf.org. 300 IN CNAME www.gnupress.org.
gplv3.fsf.org. 300 IN SSHFP 1 1 92480D5F8EF347C606466C201AED4E65470F48E1
gplv3.fsf.org. 300 IN A 208.118.235.156
groups.fsf.org. 300 IN SSHFP 1 1 CEBFB0E8AF41BC971A7CA531CCF08C13BB75F689
groups.fsf.org. 300 IN A 208.118.235.46
www.groups.fsf.org. 300 IN CNAME groups.fsf.org.
groups-dev.fsf.org. 300 IN A 208.118.235.80
gtd.fsf.org. 300 IN CNAME 20121121-gtd.fsf.org.
heinlein.fsf.org. 300 IN SSHFP 1 1 AF4EB26AFC839782F63AB83966F7B222D98FD44D
heinlein.fsf.org. 300 IN A 74.94.156.212
id.fsf.org. 300 IN SSHFP 1 1 36ECA7BE5AF57B4CB62C8F7F9BA65DD0BC02D031
id.fsf.org. 300 IN A 140.186.70.99
*.id.fsf.org. 300 IN A 140.186.70.99
id-dev.fsf.org. 300 IN A 140.186.70.99
*.id-dev.fsf.org. 300 IN A 140.186.70.99
imap.fsf.org. 300 IN CNAME mail.fsf.org.
it.fsf.org. 300 IN CNAME fsf.org.
ja.fsf.org. 300 IN CNAME fsf.org.
jabber.fsf.org. 300 IN SSHFP 1 1 B01A492737D805A65ED006C60FAD0444DAF4A0D2
jabber.fsf.org. 300 IN A 208.118.235.82
jabber-old.fsf.org. 300 IN A 199.232.41.79
jamsession.fsf.org. 300 IN A 140.186.70.45
*.jamsession.fsf.org. 300 IN A 140.186.70.45
jumpgate.fsf.org. 300 IN SSHFP 1 1 F765789462784FC47F83BBE2744FF895BCD9A738
jumpgate.fsf.org. 300 IN A 74.94.156.211
klaxon.fsf.org. 300 IN SSHFP 1 1 4C9B76A18A780F49A7412D829547A021E68E1F60
klaxon.fsf.org. 300 IN A 74.94.156.214
ledger.fsf.org. 300 IN A 74.94.156.216
libreplanet.fsf.org. 300 IN A 208.118.235.46
libreplanet-dev.fsf.org. 300 IN A 208.118.235.80
lists.fsf.org. 300 IN SSHFP 1 1 1FB95B9299E8A9580CEE1C9DA35C57087DA6B882
lists.fsf.org. 300 IN A 140.186.70.132
littlenemo.fsf.org. 300 IN SSHFP 1 1 C8CDA2FBED3F6D11E5ECE592CB06329734F09804
live.fsf.org. 300 IN SSHFP 1 1 2201574856F7BA8B119D91C760B8B1B3E3B308F0
live.fsf.org. 300 IN A 18.4.89.36
live2.fsf.org. 300 IN A 208.118.235.169
livestream.fsf.org. 300 IN A 208.118.235.25
logger.fsf.org. 300 IN SSHFP 1 1 ACF2A57D11DDFDD5C1860537BE678E4912754F4F
logger.fsf.org. 300 IN A 208.118.235.138
m.fsf.org. 300 IN A 208.118.235.131
m.fsf.org. 300 IN MX 10 mail.fsf.org.
mail.fsf.org. 300 IN SSHFP 1 1 8AD71B7E343825F8571C48E46BC0D9F20D8B0AD2
mail.fsf.org. 300 IN A 208.118.235.13
medea.fsf.org. 300 IN SSHFP 1 1 3DFDE6D65537DE947F6F07880921885A94392A07
medea.fsf.org. 300 IN A 140.186.70.161
media.fsf.org. 300 IN CNAME wildebeest.gnu.org.
member.fsf.org. 300 IN SSHFP 1 1 DC991327D1B7B418F14CE737B934AA56C389E688
member.fsf.org. 300 IN A 208.118.235.131
member.fsf.org. 300 IN MX 10 mail.fsf.org.
_jabber._tcp.member.fsf.org. 300 IN SRV 0 0 5269 jabber.member.fsf.org.
_xmpp-client._tcp.member.fsf.org. 300 IN SRV 0 0 5222 jabber.member.fsf.org.
_xmpp-server._tcp.member.fsf.org. 300 IN SRV 0 0 5269 jabber.member.fsf.org.
jabber.member.fsf.org. 300 IN A 208.118.235.168
smtp.member.fsf.org. 300 IN A 208.118.235.50
members.fsf.org. 300 IN A 208.118.235.131
members.fsf.org. 300 IN MX 10 mail.fsf.org.
_jabber._tcp.members.fsf.org. 300 IN SRV 0 0 5269 jabber.member.fsf.org.
_xmpp-client._tcp.members.fsf.org. 300 IN SRV 0 0 5222 jabber.member.fsf.org.
_xmpp-server._tcp.members.fsf.org. 300 IN SRV 0 0 5269 jabber.member.fsf.org.
mirror.fsf.org. 300 IN SSHFP 1 1 6C343A2A0DA058AE737274024D66D551E226AC42
mirror.fsf.org. 300 IN A 140.186.70.52
mirror.fsf.org. 300 IN AAAA 2001:4830:134:4::c
my.fsf.org. 300 IN SSHFP 1 1 4942730285B23C3B3214BD2EF63110B38D25C8BF
my.fsf.org. 300 IN A 208.118.235.60
www.my.fsf.org. 300 IN A 208.118.235.60
my-dev.fsf.org. 300 IN A 208.118.235.64
mycroft.fsf.org. 300 IN A 140.186.70.91
nonce.fsf.org. 300 IN A 140.186.70.98
ns1.fsf.org. 300 IN SSHFP 1 1 E1BCC3ED103B0CB0DFD7F494D1CF4414013CF07E
bakerstreet.office.fsf.org. 300 IN SSHFP 1 1 7E0CD133C19988F9739CCA1BAD24D44AEECF434B
bakerstreet.office.fsf.org. 300 IN SSHFP 1 1 F7FCD787517D10ECD94B70D4F36A96C52E800A48
buffalo.office.fsf.org. 300 IN SSHFP 1 1 B8843D03D023BD295BE5AD1B81BA1F2033304C22
cluestick.office.fsf.org. 300 IN SSHFP 1 1 65BAB0FCB7DBF3B28674CA9AEE7126B43080404A
config.office.fsf.org. 300 IN SSHFP 1 1 65BAB0FCB7DBF3B28674CA9AEE7126B43080404A
db.office.fsf.org. 300 IN SSHFP 1 1 A0B3ADEC28E5E7F8E3067276991BEFF530F3DBE8
fsf-ath9k.office.fsf.org. 300 IN SSHFP 1 1 F2D6C093B180BF066A141133523D47C0C03A5802
galileo.office.fsf.org. 300 IN SSHFP 1 1 DE8D0CD17735E79FF18309D9B54A11E0AE1FA97E
info.office.fsf.org. 300 IN SSHFP 1 1 65BAB0FCB7DBF3B28674CA9AEE7126B43080404A
ledger.office.fsf.org. 300 IN SSHFP 1 1 C3054D0FB4FCD3D79DC94EA3F70E640D52E2656C
monitor.office.fsf.org. 300 IN SSHFP 1 1 15B5DFC3891D6834185EA5683CC05BB47C7688FB
monolith.office.fsf.org. 300 IN SSHFP 1 1 11795B2FFD4095CA901047867A69B8ECD9F8A02D
nessus.office.fsf.org. 300 IN SSHFP 1 1 33BCA18816B2F7E1A14114795862A56E43762136
serenity.office.fsf.org. 300 IN SSHFP 1 1 7E0CD133C19988F9739CCA1BAD24D44AEECF434B
tarantula.office.fsf.org. 300 IN SSHFP 1 1 1C21B505EE90425120A26CF2ECFC034AD0F4B542
terminus-est.office.fsf.org. 300 IN SSHFP 1 1 2C2F79039676E489A428913AF362A810435114C2
triton.office.fsf.org. 300 IN SSHFP 1 1 3849E035C88B46113D0FEB015FE07721B2E31B78
ubik.office.fsf.org. 300 IN SSHFP 1 1 AC7AC2EAE202F4BE1A142717E594E80120C83DA9
valis.office.fsf.org. 300 IN SSHFP 1 1 C909C06ACBFFDE38CFB27A9DBA5EA53CAA18A880
zephyr.office.fsf.org. 300 IN SSHFP 1 1 5CEC6183FC0A30A31D5E51933616CAEFE4EAD70F
zephyr-dev.office.fsf.org. 300 IN SSHFP 1 1 23C0A60BB9A53303BBF174735C40569E8DA4589F
order.fsf.org. 300 IN CNAME agia.fsf.org.
orders.fsf.org. 300 IN CNAME agia.fsf.org.
parabola.fsf.org. 300 IN A 74.94.156.221
patron.fsf.org. 300 IN A 208.118.235.131
patron.fsf.org. 300 IN MX 10 mail.fsf.org.
patrons.fsf.org. 300 IN A 208.118.235.131
patrons.fsf.org. 300 IN MX 10 mail.fsf.org.
piwik.fsf.org. 300 IN A 208.118.235.167
pl.fsf.org. 300 IN CNAME fsf.org.
pt-br.fsf.org. 300 IN CNAME fsf.org.
pyxis.fsf.org. 300 IN SSHFP 1 1 A33981C3F1BA7A9EA39514F821AAA5E457C9797D
pyxis.fsf.org. 300 IN A 208.118.235.165
resolver1.fsf.org. 300 IN A 208.118.235.95
resolver2.fsf.org. 300 IN SSHFP 1 1 AB865038AF57BAFFD8F658A9D6948BFBDE33C2FB
resolver2.fsf.org. 300 IN A 208.118.235.134
resolver3.fsf.org. 300 IN A 46.43.37.71
rmstalk.fsf.org. 300 IN CNAME 20130326-rmstalk.fsf.org.
ro.fsf.org. 300 IN CNAME fsf.org.
ru.fsf.org. 300 IN CNAME fsf.org.
s.fsf.org. 300 IN A 18.4.89.42
satchmo.fsf.org. 300 IN CNAME agilus.fsf.org.
shop.fsf.org. 300 IN CNAME agilus.fsf.org.
shop-dev.fsf.org. 300 IN SSHFP 1 1 D4BEE6494D70AF9CBDB164B4F373E7A989593FD0
shop-dev.fsf.org. 300 IN A 208.118.235.154
shop-drupal.fsf.org. 300 IN CNAME 20121211-shop.fsf.org.
shop-ng.fsf.org. 300 IN CNAME 20120905-shop.fsf.org.
spamhaus-rsync.fsf.org. 300 IN A 208.118.235.31
static.fsf.org. 300 IN CNAME svnweb.fsf.org.
status.fsf.org. 300 IN A 18.4.89.42
statusnet.fsf.org. 300 IN A 18.4.89.42
store.fsf.org. 300 IN CNAME agilus.fsf.org.
survey.fsf.org. 300 IN A 140.186.70.69
sv.fsf.org. 300 IN CNAME fsf.org.
svnweb.fsf.org. 300 IN SSHFP 1 1 129C06DBA5BB8E63199310F3347757AEBAB5F5E7
svnweb.fsf.org. 300 IN A 208.118.235.30
sycophant.fsf.org. 300 IN SSHFP 1 1 65AACA9D208194C00C826B01D38069E430DA667A
sycophant.fsf.org. 300 IN A 18.4.89.34
termite.fsf.org. 300 IN SSHFP 1 1 EE597F8E1FAA122837D74D9F83C8A730AFC510A8
termite.fsf.org. 300 IN A 140.186.70.145
tor.fsf.org. 300 IN SSHFP 1 1 93E6D194D1FFA5CA23556A4420D8632BECD02097
tor.fsf.org. 300 IN A 140.186.70.48
u.fsf.org. 300 IN A 18.4.89.42
vcs.fsf.org. 300 IN SSHFP 1 1 AAB3FAA812544E87C7F45355A228C2D064374AA5
vcs.fsf.org. 300 IN A 140.186.70.160
vinge.fsf.org. 300 IN A 140.186.70.97
vpn.fsf.org. 300 IN A 18.4.89.37
watson.fsf.org. 300 IN SSHFP 1 1 D11A30E8EBF3E91E8508AF22FAB1D920F09FB905
watson.fsf.org. 300 IN A 74.94.156.215
_iax._udp.watson.fsf.org. 300 IN SRV 0 0 4569 watson.fsf.org.
_sip._udp.watson.fsf.org. 300 IN SRV 0 0 5060 watson.fsf.org.
weblabels.fsf.org. 300 IN A 208.118.235.30
webmail.fsf.org. 300 IN SSHFP 1 1 8AD71B7E343825F8571C48E46BC0D9F20D8B0AD2
webmail.fsf.org. 300 IN A 208.118.235.23
www.fsf.org. 300 IN CNAME fsf.org.
www-dev.fsf.org. 300 IN SSHFP 1 1 DC991327D1B7B418F14CE737B934AA56C389E688
www-dev.fsf.org. 300 IN A 208.118.235.63
www-dev2.fsf.org. 300 IN A 140.186.70.159
zaphod.fsf.org. 300 IN CNAME zaphod.gnu.org.
zephyr.fsf.org. 300 IN A 199.232.76.168
zephyr-dev.fsf.org. 300 IN A 199.232.76.169
fsf.org. 300 IN SOA ns1.gnu.org. hostmaster.gnu.org. 2941143631 3600 300 3600000 3600
;; Query time: 472 msec
;; SERVER: 208.118.235.164#53(208.118.235.164)
;; WHEN: Wed Mar 27 22:13:14 2013
;; XFR size: 248 records (messages 1, bytes 7127)

Original pastebin: SbD DNS smurf - Pastebin.com (http://pastebin.com/T7zyZFwS)

Aunque para respuestas demasiado grandes el protocolo DNS suele funcionar por TCP y no por UDP, vamos a obviar este detalle por comodidad y teóricamente vamos a asumir que la comunicación se hace por UDP y entonces podemos falsificar la dirección del remitente y hacer que las respuestas lleguen a la víctima. Así, si repetimos la operación 10.000 veces, conseguiremos que a la víctima le llegue un tráfico de 70 MB habiendo generado nosotros sólo 380 KB.

Si además tenemos en cuenta que hay miles de servidores DNS públicos que aceptan peticiones desde cualquier origen, tendremos toda una botnet pública a nuestra disposición para lanzar el ataque.
Cuando CloudFlare publicó su primer informe, antes de que el ataque se multiplicara por cuatro, llegaron a detectar ataques desde 30.000 servidores DNS distintos, aunque Open DNS Resolver Project dice que hay hasta 25 millones de servidores potencialmente vulnerables.

¿Cómo protegerte de este ataque? Difícilmente, ya que no es un fallo en tu red ni en tu software, el fallo está en equipos ajenos (y en el diseño inicial de Internet y el DNS basados en gran parte en la buena fe) repartidos por todo el mundo que permiten ser usados como equipos zombies para un ataque. Además, los equipos zombies que se están usando no es una modesta botnet construida con equipos domésticos infectados y con una conexión ADSL, son miles de servidores con conexiones de alta capacidad.

Las principales medidas contra el ataque las tiene que poner los servidores DNS vulnerables y son dos que están explicadas con más detalle en Open DNS Resolver Project (http://openresolverproject.org/):

Limitar el acceso al DNS. Si no es posible bloquear el acceso desde el exterior, limitar al menos la frecuencia de peticiones por IP.
Implementar técnicas de bloqueo de spoofing como BCP-38 (http://tools.ietf.org/html/bcp38).

Artículo cortesía de Jesús Pérez (https://twitter.com/chusop)