Comunicado de prensa

Mar
12

Ataques DDoS: se bate un nuevo récord

Subhead
WatchGuard explica qué son estos ataques, cómo funcionan, qué peligros entrañan para las víctimas y cómo se pueden evitar. Además, analiza el ataque DDoS a GitHub y cómo se ha manejado el tráfico

Body

Madrid, 12 de marzo de 2018 - Recientemente se produjo un ataque DDoS de 1,3 TBps sin precedentes contra Github y, hace solo unos días los atacantes ya han batido ese récord con otro ataque de amplificación UDP Memcrashed, contra una compañía cuyo nombre no ha sido revelado. También se sabe que los atacantes que están detrás de estos ataques DDoS están extorsionando a sus víctimas. (Accede al vídeo de Corey Nachreiner, CTO de WatchGuard, donde ofrece más detalles).

Acontecimientos recientes: GitHub ¿cómo se ha manejado el tráfico?

El pasado día 2 de marzo GitHub sobrevivió al mayor ataque DDoS hasta la fecha con un tráfico de aproximadamente 1,3 Tbps (Terabytes por segundo). El mayor ataque registrado anteriormente fue en 2016 cuando la botnet Mirai lanzó un DDos de 1,2 Tbps contra DYN DNS, tumbando su red,  y gran parte de Internet junto a ella.

A continuación, Tanner Harrison, del equipo de soporte técnico de WatchGuard, ofrece más detalles sobre la causa de este ataque DDoS, además de aportar consejos sobre cómo se pueden evitar y soluciones para mitigarlos.

¿Cuál ha sido la causa de estos últimos ataques? ¿Ha sido este otro ataque de una botnet?

Un día antes del ataque, Akamai (el servicio de Inteligencia DDoS y Mitigación Cloud) descubrió un nuevo vector de ataque de reflexión DDoS que utiliza una nueva herramienta de red llamada memcached. Los ataques de reflexión utilizan tráfico UDP falso desde un servidor que aloja el servicio explotado para forzar el envío de datos a una víctima desprevenida. Los ataques de amplificación llevan el ataque de reflexión un paso más allá. El atacante activa un servicio UDP para enviar una gran cantidad de datos a la víctima, con solo un pequeño paquete enviado por el atacante. Este ataque de reflexión específico utiliza memcached para amplificar tamaños de paquetes, con el fin de inundar el sitio de destino con datos. El ataque es como otros ataques conocidos de reflexión y amplificación DDoS, como DNS, TFTP, LDAP, SNMP, BitTorrent, entre otros. La diferencia clave es la potencia de amplificación que ofrece memcached.

En un ataque típico de amplificación DNS, se verían factores de amplificación de alrededor de 100, mientras que con el de reflexión desde un servidor memcache se vería un factor de más de 50.000. Según la publicación del blog de Akamai sobre el ataque recientemente descubierto, es difícil determinar el factor de amplificación exacto:  

Cuando un sistema recibe una solicitud de obtención de memcached elabora una respuesta al recopilar los valores solicitados de la memoria, enviándolos por cable en un flujo ininterrumpido. Esta respuesta se manda al destino en múltiples paquetes UDP, cada uno de 1.400 bytes. Es difícil determinar el factor de amplificación exacto de memcached, pero los ataques generaron casi 1 Gbps por reflector. Otras organizaciones han informado de ataques de más de 500 Gbps utilizando la reflexión de memcacheed”.

¿Cómo se puede evitar esto?

La mejor forma de prevenir este tipo de ataque es asegurarse de que los reflectores potenciales (DNS, MemCache, TFTP, etc.), no estén expuestos a internet. De forma imperiosa, se anima a todos los administradores del sistema a deshabilitar el protocolo de memcache en cualquier servidor expuesto a Internet, o al menos bloquear el puerto UDP 11211.

Este ataque contra GitHub demuestra que tenemos que estar preparados para más ataques multi-gigabytes, tal como hemos visto con el protocolo de memcache y la botnet Mirai. Los administradores de TI deben planificar en consecuencia para mitigar estos riesgos.

Prevención y mitigación de DDoS:

  1. Utilizar firewalls on-premise o filtros de contenido
  2. Equipamiento especializado / balanceadores de carga
  3. Mitigación ISP
  4. Mitigación de terceros 

1. Con WatchGuard Firewalls es posible bloquear la dirección IP del remitente mediante el manejo de paquetes predeterminados en el dispositivo Firebox tiene umbrales predeterminados establecidos para el cliente y los servidores. Una vez que se ha alcanzado un umbral para la dirección IP de destino, el Firebox elimina las solicitudes de conexión entrantes de cualquier host.

También se recomienda bloquear el puerto 11211 para evitar que sus servidores se conviertan en un reflector.

2. Se puede implementar una solución de balanceo de carga para las conexiones ISP para que el tráfico fluya en un escenario de doble vuelta o de desbordamiento. Por lo general, se debería utilizar algún tipo de equipo para manejar la carga en el Boarder de la red. Hay que tener en cuenta que estos dispositivos no pueden manejar ataques de gran volumen (ataques con una gran cantidad de tráfico, como estos ataques de amplificación). Se producirá un cuello de botella en la red.

Los pasos 3 y 4, por lo general, se combinan. Para ataques a gran escala dependerá de la coordinación del ISP y un servicio de mitigación cloud de un tercero. Como Corey Nachreiner, CTO de WatchGuard, declara en su publicación en el blog Secpliticy:

“Las soluciones DDoS híbridas o cloud manejan gran parte del ataque en sentido ascendente, distribuyen parte de la carga a través de una gran red distribuida y bloquean gran parte del tráfico incluso antes de que alcance sus puertas.”

Estas soluciones DDoS en la nube o híbridas tienen la infraestructura, el ancho de banda y los recursos disponibles para mitigar estos ataques.

Acerca de WatchGuard Technologies

WatchGuard® Technologies, Inc. es líder global en soluciones de seguridad de red, ofreciendo la mejor protección de su clase en plataformas de Gestión Unificada de Amenazas (UTM), Next Generation Firewall, seguridad Wi-Fi, así como productos y servicios de inteligencia de red a más de 80.000 clientes de todo el mundo. La misión de la compañía es hacer accesible la seguridad empresarial a las compañías de todos los tipos y tamaños a través de la simplicidad, haciendo de WatchGuard la solución ideal para pymes y empresas distribuidas. Con sede en Seattle, Washington, WatchGuard tiene oficinas en Norteamérica, Europa, Asia Pacífico y América Latina. Para más información, visite WatchGuard.com.

Para obtener información adicional, promociones y actualizaciones, siga a WatchGuard en Twitter @WatchGuard, en Facebook, o en la página de LinkedIn de la compañía. Visite también su blog InfoSec, Secplicity, para obtener información en tiempo real de las últimas amenazas y cómo hacerlas frente en www.secplicity.org.

 

 

 

Contactos de Medios

Chris Warfield
WatchGuard Technologies
206.876.8380

 


Todos los comunicados de prensa >