Tsunami de tráfico basura que batió récords de DDoS entregado por diminutas botnets
Aurich Lawson | Getty Images Una avalancha masiva de tráfico malicioso que recientemente estableció un nuevo récord de denegación de servicio distribuido provino de una fuente poco probable. Una botnet con solo 5,000 dispositivos fue la culpable, ya que los extorsionadores y los vándalos desarrollan ataques cada vez más poderosos para desconectar los sitios web, dijeron los investigadores de seguridad. El DDoS entregó 26 millones de solicitudes HTTPS por segundo, rompiendo el récord anterior de 15,3 millones de solicitudes para ese protocolo establecido hace solo siete semanas, informó el gerente de productos de Cloudflare, Omer Yoachimik. A diferencia de las cargas útiles de DDoS más comunes, como los paquetes HTTP, SYN o SYN-ACK, las solicitudes HTTPS maliciosas requieren muchos más recursos informáticos para que el atacante las cometa y para que el defensor o la víctima las absorba.
4000 veces más fuerte
«Hemos visto ataques muy grandes sobre HTTP (sin cifrar) en el pasado, pero este ataque sobresale en los recursos que requiere en su escala», escribió Yoachimik.
El brote de Cloudflare duró menos de 30 segundos y generó más de 212 millones de solicitudes HTTPS de más de 1500 redes en 121 países, con Indonesia, Estados Unidos, Brasil y Rusia encabezando la lista. Las principales redes utilizadas incluyeron OVH con sede en Francia (número de sistema autónomo 16276), Telkomnet de Indonesia (ASN 7713), iboss con sede en EE. UU. (ASN 137922) y Ajeel libio (ASN 37284). Alrededor del 3 por ciento de los ataques se produjeron a través de los nodos Tor.
llamarada de nube
Cloudflare Al igual que con el ataque anterior, con 15,3 millones de solicitudes HTTPS por segundo, el nuevo ataque provino principalmente de dispositivos de proveedores de servicios en la nube. Los servidores y las máquinas virtuales disponibles de estos proveedores son significativamente más potentes que las computadoras comprometidas y los dispositivos IoT conectados a ISP privados, que son la fuente más común de ataques DDoS. Yoachimik escribió:
El ataque DDoS de 26M RPS se lanzó desde una red de bots pequeña pero poderosa de 5067 dispositivos. En promedio, cada nodo generó alrededor de 5200 rps en el pico. Para contrarrestar el tamaño de esta red de bots, rastreamos otra red de bots mucho más grande pero menos poderosa con más de 730 000 dispositivos. La última botnet más grande no logró generar más de un millón de solicitudes por segundo, con un promedio de 1,3 solicitudes por segundo por dispositivo. En pocas palabras, esta red de bots era 4000 veces más fuerte en promedio debido al uso de máquinas virtuales y servidores.
En algunos casos, los DDoSers combinan su uso de dispositivos basados en la nube con otras técnicas para hacer que sus ataques sean más poderosos. Por ejemplo, en los 15,3 millones de solicitudes HTTPS por segundo DDoS a principios de este año, Cloudflare descubrió evidencia de que los atacantes pueden haber explotado una vulnerabilidad crítica. Este exploit les permitió eludir la autenticación en una variedad de aplicaciones basadas en Java utilizadas en los entornos de nube en los que se ejecutan sus dispositivos de ataque. Los ataques DDoS se pueden medir de varias maneras, incluido el volumen de datos, la cantidad de paquetes o la cantidad de solicitudes enviadas por segundo. Los otros registros actuales son 3,4 terabits por segundo para ataques DDoS volumétricos, que intentan consumir todo el ancho de banda disponible para el objetivo, y 809 millones de paquetes por segundo. Los 26 millones de solicitudes HTTPS por segundo rompen el récord anterior de 17,2 millones de solicitudes por segundo establecido en 2020. Este ataque anterior no solo entregó menos paquetes que el nuevo récord, sino que también se basó en HTTP, que no es tan fuerte como HTTPS. . El gerente de productos de Cloudflare dijo que su empresa detectó y mitigó automáticamente el ataque al cliente mediante el servicio gratuito de Cloudflare.