Dos récords DDoSes lanzados esta semana subrayan su creciente amenaza


  Dos DDoSes lanzados esta semana destacan su creciente amenaza.

Aurich Lawson / Getty

Los ataques de denegación de servicio distribuidos, esas inundaciones de tráfico basura que los delincuentes interrumpen o cierran completamente los sitios web y servicios, han sido durante mucho tiempo un flagelo de Internet, con eventos, que regularmente cerró agencias de noticias y repositorios de software y en algunos casos cerró grandes partes de Internet durante horas. Ahora hay indicios de que los DDoSes, como se los suele llamar, se han vuelto cada vez más efectivos con dos ataques récord la semana pasada.

Los operadores DDoS piratean miles, cientos de miles y, en algunos casos, millones, de dispositivos conectados a Internet y utilizan su ancho de banda y potencia informática. Los atacantes usan estos recursos ilegales para bombardear sitios web con paquetes de datos para matar objetivos. Los atacantes más avanzados aumentan su potencia de fuego al rebotar el tráfico malicioso de servicios de terceros, que en algunos casos puede aumentarlo en un factor de 51,000. Al menos en teoría, esto permite que una sola computadora doméstica con capacidad de carga de 100 megabits por persona por segundo proporcione un tráfico inimaginable de 5 terabits por segundo.

Estos tipos de DDoSes se denominan ataques volumétricos. El objetivo es utilizar máquinas distribuidas por Internet para enviar órdenes de magnitud más tráfico en una línea de lo que puede manejar. Una segunda clase, llamada ataques enfocados por paquete, obliga a las máquinas a bombardear dispositivos o aplicaciones de red en el centro de datos del objetivo con más paquetes de datos de los que pueden manejar. El objetivo en ambos tipos de ataques es el mismo. Cuando la red o la capacidad de procesamiento se utiliza por completo, los usuarios legítimos ya no pueden acceder a los recursos del objetivo, lo que resulta en una denegación de servicio.

Efectos desproporcionadamente negativos

Los ataques DDoS se han vuelto cada vez más poderosos en las últimas dos décadas. Los utilizados por un canadiense de 15 años en 2000 para desactivar Yahoo ETrade y Buy.com se midieron en cientos de megabits por segundo, lo que es más o menos comparable a muchas de las conexiones de banda ancha actuales en el hogar, pero lo suficiente para hacerlo. Tuberías de ubicaciones con tráfico suficiente para obstruir y bloquear completamente las conexiones legítimas.

Para 2011, los atacantes habían aumentado el DDoS a diez gigabits por segundo. Los ataques récord alcanzaron los 300 Gbit / s, 1.1 Terabit por segundo y 1.7 Tbit / s en 2013, 2016 y 2018. Los ataques de paquetes por segundo son menos comunes, pero siguen una tendencia ascendente similar.

La carrera hacia arriba no muestra signos de desaceleración. La semana pasada, Amazon informó que su servicio de mitigación de daños AWS Shield DDoS estaba asociado con un ataque de 2.3 Tbps, un aumento del 35 por ciento sobre el récord de 2018. Mientras tanto, el proveedor de red Akamai dijo el jueves que su servicio prolexic impedía un DDoS que generaba 809 millones de paquetes por segundo. Este es un aumento del 35 por ciento en comparación con la marca de inundación anterior del DDoS de 600 Mbit / s, que Roland Dobbins, ingeniero jefe del servicio de limitación de daños Netscout Arbor, ha manejado, según su compañía.

"Anticipamos nuevas innovaciones en esta área de los vectores de ataque DDoS debido a las diversas motivaciones financieras, ideológicas y sociales de los atacantes", dijo Dobbins. "Los ataques DDoS permiten a los atacantes afectar desproporcionadamente tanto a los objetivos previstos como a los espectadores no involucrados".

El ataque, que Akamai dijo que había golpeado a un banco europeo no revelado, fue notable por la rapidez con que comenzó. Como muestra la siguiente imagen, los atacantes tardaron menos de tres minutos en liberar su máximo de 809 Mpps.

Akamai

Mayor potencia de fuego

Una de las innovaciones más recientes que ha encontrado DDoSer es la explotación de servidores mal configurados que ejecutan CLDAP (Short) para el protocolo ligero de acceso a directorios sin conexión. El mecanismo es una derivación de Microsoft del estándar LDAP y utiliza paquetes de protocolo de datagramas de usuario para consultar y recuperar datos de los servidores de Microsoft.

Si bien CLDAP solo debería estar disponible dentro de una red, Dobbins ha indicado que Netscout ha identificado aproximadamente 330,000 servidores en cuyo mecanismo está expuesto a Internet en su conjunto. Los atacantes han asumido este error masivo. Al enviar las solicitudes CLDAP de los servidores mal configurados con direcciones IP falsas, los servidores bombardean inadvertidamente objetivos con respuestas que son 50 veces o más.

"A menudo es la negligencia administrativa lo que permite este ataque", dijo Roger Barranco, vicepresidente de operaciones de seguridad global de Akamai. Agregó que bloquear puertos de red como 389 e instalar parches generalmente evitan que un servidor sea abusado de esta manera.

En el pasado, DDoSer abusaba de servidores que ejecutaban otros protocolos comunes que estaban mal configurados. Si se configura incorrectamente, memcached, un sistema de almacenamiento en caché de bases de datos para acelerar sitios web y redes, puede agregar un factor impensable de 51,000 a DDoSes. Esta es una innovación que ha respaldado el récord de 2018 de 1.7 TBit / s. Cuatro años antes, los atacantes hicieron mal uso del Protocolo de tiempo de red, del que dependen los servidores para mantener los relojes sincronizados a través de Internet. La tecnología, que aumentó el tráfico basura en 19 veces, condujo a DDoses en 2014, en la que se cerraron los servidores de League of Legends (19459016), EA.com y otros servicios de juegos en línea.

Cuando las configuraciones erróneas de protocolos o servicios generalizados se usan de manera masiva, los vigilantes de Internet generalmente instan a los administradores a que los limpien. Cuando los administradores finalmente lo hagan, los atacantes encontrarán nuevas formas de aumentar su potencia de fuego. El ciclo continua.

El crecimiento de Bots amenaza a jugadores, bancos y usted.

Además de usar métodos de amplificación, el tamaño creciente de DDoSes es el resultado de que los atacantes toman el control de un número cada vez mayor de dispositivos. Mientras que las computadoras con Windows y luego con Linux fueron el único dominio de las botnets que enviaban tráfico basura a los grupos objetivo, cada vez más enrutadores, cámaras conectadas a Internet y otros llamados dispositivos de Internet de las cosas ahora son participantes activos.

En el informe del jueves, Akamai dijo que el 96 por ciento de las direcciones IP utilizadas para entregar el DDoS récord de 809 millones de paquetes por segundo durante el fin de semana nunca antes se habían observado. El creciente número de dispositivos IoT comprometidos debería impulsar este aumento.

Los objetivos DDoS más comunes incluyen los jugadores en línea y las empresas, plataformas y proveedores de servicios de Internet de banda ancha que utilizan. Las rivalidades de los jugadores son una motivación. Otro objetivo es interrumpir el flujo de grandes cantidades de dinero que a menudo se usan para jugar.

Las instituciones financieras, agencias gubernamentales, grupos de defensa política y minoristas también son marcas comerciales comunes, a menudo por hacktivistas motivados ideológicamente. Los DDoSers a veces atacan para que puedan pedir un rescate para detener los ataques. En otros casos, los DDoSers atacan por pura maldad.

Los objetivos previstos no son los únicos que sufren los efectos adversos de DDoS. Una vez que las tormentas de datos inimaginables pueden abrumar las conexiones entre pares del ISP, los servidores DNS y otras infraestructuras en las que la gente común y las empresas confían para comprar, enviar correos electrónicos y realizar otras tareas importantes.

"La huella del daño colateral de los ataques DDoS a menudo es mucho mayor que el impacto en los objetivos previstos", dijo Dobbins. "Baste decir que muchas más personas y organizaciones no involucradas a menudo interrumpen sus actividades del daño colateral de los ataques DDoS que aquellos que son los objetivos reales de esos ataques".

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *