Krebs en Seguridad

El martes por la noche, KrebsOnSecurity.com fue el objetivo de un ataque de denegación de servicio distribuido (DDoS) extremadamente grande e inusual diseñado para desconectar el sitio. El ataque no tuvo éxito gracias al arduo trabajo de los ingenieros de Akamai, la empresa que protege mi sitio de estos asedios digitales. Sin embargo, según Akamai, fue casi el doble del tamaño del ataque más grande que habían visto anteriormente, y fue uno de los ataques más grandes que Internet haya presenciado jamás.
iotstuf

El ataque comenzó alrededor de las 8 p. m. ET del septiembre. 20, y los informes iniciales lo sitúan en aproximadamente 665 Gigabits de tráfico por segundo. Un análisis adicional sobre el tráfico de ataque sugiere que el asalto estaba más cerca de 620 Gbps de tamaño, pero en cualquier caso, esto es muchos órdenes de magnitud más tráfico del que normalmente se necesita para desconectar la mayoría de los sitios.

Martin McKeay, defensor sénior de seguridad de Akamai, dijo que el ataque más grande que la compañía había visto anteriormente se registró a principios de este año con 363 Gbps. Pero dijo que había una gran diferencia entre el DDoS de anoche y el anterior poseedor del récord: Se cree que el ataque de 363 Gpbs fue generado por una red de bots de sistemas comprometidos que utilizan técnicas conocidas que les permiten “amplificar” un ataque relativamente pequeño en uno mucho más grande.

En contraste, el gran asalto de esta semana en mi sitio parece haber sido lanzado casi exclusivamente por una gran red de bots de dispositivos hackeados.

Los ataques DDoS más grandes registrados tienden a ser el resultado de un método probado conocido como ataque de reflexión DNS. En tales ataques, los perpetradores pueden aprovechar los servidores DNS no administrados en la Web para crear enormes inundaciones de tráfico.

Idealmente, los servidores DNS solo proporcionan servicios a máquinas dentro de un dominio de confianza. Pero los ataques de reflexión de DNS dependen de enrutadores de consumo y negocios y otros dispositivos equipados con servidores DNS que están (mal)configurados para aceptar consultas desde cualquier lugar de la Web. Los atacantes pueden enviar consultas DNS falsas a estos servidores DNS llamados “recursivos abiertos”, falsificando la solicitud para que parezca provenir de la red del objetivo. De esta manera, cuando los servidores DNS responden, responden a la dirección (de destino) falsificada.

Los malos también pueden amplificar un ataque reflexivo creando consultas DNS para que las respuestas sean mucho más grandes que las solicitudes. Para ello, aprovechan una extensión del protocolo DNS que habilita mensajes DNS de gran tamaño. Por ejemplo, un atacante podría redactar una solicitud de DNS de menos de 100 bytes, lo que provocaría una respuesta de 60 a 70 veces más grande. Este efecto de “amplificación” es especialmente pronunciado si los perpetradores consultan docenas de servidores DNS con estas solicitudes falsificadas simultáneamente.

Pero, según Akamai, ninguno de los métodos de ataque empleados en el asalto del martes por la noche a KrebsOnSecurity se basó en la amplificación o la reflexión. Más bien, muchos eran métodos de ataque web basura que requieren una conexión legítima entre el host atacante y el objetivo, incluidos SYN, GET y POST floods.

Es decir, con la excepción de un método de ataque: El análisis preliminar del tráfico de ataque sugiere que quizás la mayor parte del ataque vino en forma de tráfico diseñado para parecer paquetes de datos de encapsulación de enrutamiento genérico (GRE), un protocolo de comunicación utilizado para establecer una conexión directa de punto a punto entre nodos de red. GRE permite que dos pares compartan datos que no podrían compartir a través de la propia red pública.

“Ver que tanto ataque viene de GRE es realmente inusual”, dijo McKeay de Akamai. “Solo hemos empezado a verlo recientemente, pero verlo en este volumen es muy nuevo.”Seguir leyendo →

Deja una respuesta

Tu dirección de correo electrónico no será publicada.