Dos registros DDoSes publicados esta semana destacan su creciente amenaza

Dos registros DDoSes publicados esta semana destacan su creciente amenaza

Aurich Lawson / Getty

Los ataques distribuidos de denegación de servicio, esas inundaciones de tráfico basura que los delincuentes utilizan para interrumpir o derribar por completo sitios web y servicios, han sido durante mucho tiempo un flagelo de Internet, con eventos que paralizan regularmente los medios de comunicación y los repositorios de software, y en en algunos casos, paralizan gran parte de Internet durante horas. Ahora, hay evidencia de que los DDoSes, como se les llama comúnmente, se están volviendo más potentes con dos ataques récord que surgieron la semana pasada.

Los operadores de DDoS piratean miles, cientos de miles y, en algunos casos, millones de dispositivos conectados a Internet y aprovechan su ancho de banda y potencia de procesamiento. Los atacantes utilizan estos recursos ilícitos para bombardear sitios web con torrentes de paquetes de datos con el fin de eliminar objetivos. Los atacantes más avanzados aumentan su potencia de fuego al desviar el tráfico malicioso de los servicios de terceros que, en algunos casos, pueden amplificarlo por un factor de 51.000, un logro que, al menos en teoría, permite una sola computadora doméstica de 100 megabits. por segundo de capacidad de carga para entregar 5 terabits por segundo de tráfico previamente inimaginable.

Estos tipos de DDoSes se conocen como ataques volumétricos. El objetivo es utilizar máquinas distribuidas a través de Internet para enviar órdenes de magnitud más volumen de tráfico a un circuito de lo que puede manejar. Una segunda clase, conocida como ataques de paquetes por segundo, obliga a las máquinas a bombardear equipos de red o aplicaciones dentro del centro de datos de destino con más paquetes de datos de los que pueden procesar. El objetivo en ambos tipos de ataques es el mismo. Con la red o la potencia de procesamiento consumida por completo, los usuarios legítimos ya no pueden acceder a los recursos del destino, lo que resulta en una denegación de servicio.

Impactos negativos extremadamente desproporcionados

Los ataques DDoS en las últimas dos décadas se han vuelto cada vez más poderosos. Los que un canadiense de 15 años utilizó en 2000 para derribar Yahoo ETrade y Buy.com se midieron en cientos de megabits por segundo, aproximadamente comparables a muchas de las conexiones de banda ancha domésticas actuales, pero lo suficiente como para obstruir canales. de sitios con suficiente tráfico para bloquear completamente las conexiones legítimas.

En 2011, los atacantes aumentaron los DDoSes a decenas de gigabits por segundo. Los ataques récord alcanzaron los 300 Gbps, 1,1 terabits por segundo y 1,7 Tbps en 2013, 2016 y 2018, respectivamente. Aunque menos comunes, los ataques de paquetes por segundo siguieron una ruta ascendente similar.

La carrera alcista no muestra signos de desaceleración. La semana pasada, Amazon informó que su servicio de mitigación AWS Shield DDoS enfrentó un ataque de 2,3 Tbps, un aumento del 35% con respecto al récord de 2018. Mientras tanto, el proveedor de red Akamai dijo el jueves que su servicio Prolexic repelió un DDoS que generaba 809 millones de paquetes por segundo. Eso es un aumento del 35 por ciento de lo que se cree que es el punto más alto anterior del DDoS de 600Mpps que Roland Dobbins, ingeniero principal del servicio de mitigación de la competencia Netscout Arbor, dijo que su compañía controlaba.

«Anticipamos la innovación continua en el área de los vectores de ataque DDoS debido a las diversas motivaciones financieras, ideológicas y sociales de los atacantes», me dijo Dobbins. «Los ataques DDoS permiten a los atacantes tener un impacto negativo extremadamente desproporcionado en los objetivos previstos de los ataques, así como en los espectadores no involucrados».

El ataque, que según Akamai afectó a un banco europeo no identificado, fue notable por la velocidad con la que aumentó. Como ilustra la imagen de abajo, los atacantes necesitaron menos de tres minutos para liberar su pico de 809 Mpps.

Akamai

Amplificando la potencia de fuego

Una de las innovaciones más recientes que han encontrado los DDoSers es la explotación de servidores mal configurados que ejecutan CLDAP, abreviatura de Connectionless Lightweight Directory Access Protocol. Una derivación de Microsoft del estándar LDAP, el motor utiliza paquetes de Protocolo de datagramas de usuario para consultar y recuperar datos de los servidores de Microsoft.

Aunque CLDAP solo debería estar disponible dentro de una red, Dobbins dijo que Netscout ha identificado alrededor de 330.000 servidores que tienen el motor expuesto a Internet en general. Los atacantes se aprovecharon de este error masivo. Al enviar solicitudes CLDAP a servidores mal configurados con direcciones IP falsificadas, los servidores bombardean inadvertidamente objetivos con respuestas 50 o más veces mayores.

«A menudo es la negligencia administrativa lo que permite que exista este ataque», dijo Roger Barranco, vicepresidente de operaciones de seguridad global de Akamai. Añadió que bloquear puertos de red como 389 e instalar parches generalmente evita que se abuse de un servidor de esta manera.

En el pasado, los DDoSers abusaron de los servidores que ejecutaban otros protocolos ampliamente utilizados que se habían configurado incorrectamente. Cuando no está configurado correctamente, Memcached, un sistema de caché de base de datos para acelerar los sitios web y las redes, puede amplificar los DDoSes en un factor impensable de 51,000, una innovación que impulsó el récord de 2018 de 1.7 Tbps. Cuatro años antes, los atacantes abusaron del Network Time Protocol, del que dependen los servidores para mantener sincronizados los relojes en Internet. La técnica, que aumenta el tráfico de correo electrónico no deseado en aproximadamente 19 veces, llevó a los DDoses de 2014 que derribaron los servidores de League of Legends, EA.com y otros servicios de juegos en línea.

Por lo general, cuando se abusa en masa de configuraciones incorrectas para protocolos o servicios ampliamente utilizados, los perros guardianes de Internet presionan a los administradores para que los limpien. Cuando los administradores finalmente lo hacen, los atacantes encuentran nuevas formas de aumentar su potencia de fuego. El ciclo continúa.

El crecimiento de los bots amenaza a los jugadores, a los bancos y a ti

Además de aprovechar los métodos de amplificación, el tamaño cada vez mayor de los DDoSes es el resultado de que los atacantes toman el control de un número cada vez mayor de dispositivos. Si bien las computadoras Windows y Linux posteriores fueron una vez el dominio exclusivo de las redes de bots que envían tráfico basura a los objetivos, el creciente número de enrutadores, cámaras conectadas a Internet y otros dispositivos en el llamado Internet de las cosas ahora también se han convertido en participantes activos.

En el informe del jueves, Akamai dijo que el 96 por ciento de las direcciones IP utilizadas para entregar el récord de 809 millones de paquetes por segundo DDoS durante el fin de semana nunca se habían observado antes. El creciente número de dispositivos IoT comprometidos probablemente esté impulsando este aumento.

Entre los objetivos DDoS más comunes se encuentran los jugadores de juegos en línea y las empresas de banda ancha, las plataformas y los ISP que utilizan. Las rivalidades entre los jugadores son una motivación. Otro objetivo es detener el flujo de grandes cantidades de dinero que se suelen apostar en los juegos.

Las instituciones financieras, agencias gubernamentales, organizaciones de defensa política y minoristas también son marcas frecuentes, generalmente por hacktivistas motivados ideológicamente. Los DDoSers a veces atacan para exigir rescates para prevenir ataques. Otras veces, los DDoSers atacan por pura maldad.

Los objetivos previstos no son los únicos que sufren los efectos adversos de los DDoSes. Las tormentas de datos antes inimaginables pueden abrumar las conexiones de intercambio de ISP, los servidores DNS y otra infraestructura de la que dependen las personas y las empresas para comprar, enviar correos electrónicos y realizar otras tareas importantes.

«La huella de daño colateral de los ataques DDoS es a menudo mucho mayor que el impacto en los objetivos previstos», dijo Dobbins. «Es suficiente decir que muchas más personas y organizaciones no involucradas a menudo ven interrumpidas sus actividades por el daño colateral de los ataques DDoS que aquellos que son los verdaderos objetivos de estos ataques».