Tsunami de tráfico basura que rompió récords de DDoS entregado por la más pequeña de las botnets

Tsunami de tráfico basura que rompió récords de DDoS entregado por la más pequeña de las botnets

Aurich Lawson | imágenes falsas

Una avalancha masiva de tráfico malicioso que recientemente estableció un nuevo récord de denegación de servicio distribuido provino de una fuente poco probable. Una red de bots de solo 5000 dispositivos fue la responsable, ya que los extorsionistas y los vándalos continúan desarrollando ataques cada vez más poderosos para desconectar los sitios, dijeron investigadores de seguridad.

El DDoS entregó 26 millones de solicitudes HTTPS por segundo, rompiendo el récord anterior de 15,3 millones de solicitudes para ese protocolo establecido hace solo siete semanas, Gerente de Producto de Cloudflare, Omer Yoachimik reportado. A diferencia de las cargas útiles de DDoS más comunes, como los paquetes HTTP, SYN o SYN-ACK, las solicitudes HTTPS maliciosas requieren considerablemente más recursos informáticos para que el atacante las entregue y para que el defensor o la víctima las absorba.

4000 veces más fuerte

“Hemos visto ataques muy grandes en el pasado a través de HTTP (sin cifrar), pero este ataque se destaca por los recursos que requiere en su escala”, escribió Yoachimik.

Llamarada de la nube

La ráfaga duró menos de 30 segundos y generó más de 212 millones de solicitudes HTTPS de más de 1500 redes en 121 países, con Indonesia, Estados Unidos, Brasil y Rusia encabezando la lista. Las principales redes utilizadas incluyeron OVH con sede en Francia (número de sistema autónomo 16276), Telkomnet de Indonesia (ASN 7713), iboss con sede en EE. UU. (ASN 137922) y Ajeel libio (ASN 37284). Alrededor del 3 por ciento del ataque se produjo a través de los nodos Tor.

Llamarada de la nube

Llamarada de la nube

Como sucedió con el anterior ataque de 15,3 millones de solicitudes HTTPS por segundo, el nuevo se originó principalmente en dispositivos de proveedores de servicios en la nube. Los servidores y las máquinas virtuales disponibles de estos proveedores son considerablemente más potentes que las computadoras comprometidas y los dispositivos IoT conectados a los ISP residenciales, que son la fuente más común de DDoS.

Yoachimik escribió:

El ataque DDoS de 26 millones de rps se originó en una red de bots pequeña pero poderosa de 5067 dispositivos. En promedio, cada nodo generó aproximadamente 5200 rps en el pico. Para contrastar el tamaño de esta red de bots, hemos estado rastreando otra red de bots mucho más grande pero menos poderosa de más de 730,000 dispositivos. La última botnet, más grande, no pudo generar más de un millón de solicitudes por segundo, es decir, aproximadamente 1,3 solicitudes por segundo en promedio por dispositivo. En pocas palabras, esta botnet era, en promedio, 4000 veces más fuerte debido a su uso de máquinas virtuales y servidores.

En algunos casos, los DDoSers combinan su uso de dispositivos basados ​​en la nube con otras técnicas para hacer que sus ataques sean más potentes. En los 15,3 millones de solicitudes HTTPS por segundo DDoS de principios de este año, por ejemplo, Cloudflare descubrió evidencia de que los actores de amenazas pueden haber explotado un vulnerabilidad crítica. Este exploit les permitió eludir la autenticación en una amplia gama de aplicaciones basadas en Java utilizadas dentro de los entornos de nube que ejecutan sus dispositivos de ataque.

Los ataques DDoS se pueden medir de varias maneras, incluso por el volumen de datos, la cantidad de paquetes o la cantidad de solicitudes enviadas cada segundo. Los otros registros actuales son 3,4 terabits por segundo para DDoS volumétricos, que intentan consumir todo el ancho de banda disponible para el objetivo, y 809 millones de paquetes por segundo. Los 26 millones de solicitudes HTTPS por segundo rompen el anterior 17,2 millones de solicitudes por segundo récord establecido en 2020. Ese ataque anterior no solo entregó menos paquetes que el nuevo récord, sino que también se basó en HTTP, que no es tan potente como HTTPS.

El gerente de producto de Cloudflare dijo que su empresa detectó y mitigó automáticamente el ataque contra el cliente, que estaba usando el servicio gratuito de Cloudflare.

Leave a Reply

Your email address will not be published. Required fields are marked *