Monitor Más Monitor


Cloudflare bloquea uno de los mayores ataques DDoS

Cloudflare bloquea uno de los mayores ataques DDoS
Es uno de los mayores que ha registrado Cloudflare

Publicación:30-04-2022
++--

Cloudflare ha bloqueado este mes un ataque de denegación de servicio distribuido (DDoS) de enorme envergadura, lanzado sobre una plataforma de criptomonedas.

No solo es poco habitual por su tamaño, también lo es porque se lanzó a través de HTTPS y su origen inicial se dio en centros de datos cloud, en vez de en proveedores de servicios de Internet residencial, lo que suele ser bastante más habitual.

Este ataque, que no duró ni quince segundos, tenía nada menos que 15,3 millones de peticiones por segundo. Es uno de los mayores que ha registrado Cloudflare, y sin duda el mayor ataque HTTPS del que se tienen registros. Su objetivo era una plataforma de lanzamiento de criptomonedas, que según Cloudflare se utiliza «para presentar proyectos financieros descentralizados a inversores potenciales«.

La red de bots utilizada para lanzar este ataque contaba con unos 6.000 bots únicos, repartidos por 1.300 redes distintas de 112 países del mundo. Entre estos países destaca el tráfico para el ataque con origen en Indonesia: el 15% del total. Otros de los países con un número nutrido de bots participantes en el ataque fueron Brasil, Colombia, Estados Unidos, India y Rusia.

Desde Cloudflare no han hecho pública la identificación de la botnet, pero han señalado que se trata de una que llevan vigilando desde hace tiempo, y a la que han visto lanzar ataques de hasta 10 millones de peticiones por segundo con el mismo sistema.

En un ataque a través de HTTPS, la botnet satura el servidor del objetivo con un número ingente de peticiones, lo que come recursos de computación del sistema, así como memoria, haciendo que los usuarios puedan acceder de manera legal a la web. Mientras tanto, en un ataque DDoS, de ancho de banda, los más habituales, el objetivo es bloquear la conexión a Internet del objetivo con un chorro de mensajes, dificultando el acceso habitual a los usuarios a la página o servicio atacado. Normalmente, en ambos casos, el objetivo del atacante es extorsionar a la víctima, pidiendo dinero a cambio de acabar con el ataque.

Según los miembros del equipo que ha detenido el ataque, «los ataques DDoS por HTTPS son más caros en cuanto a recursos de computación necesarios, por el mayor coste del establecimiento de una conexión cifrada TLS. Por tanto al atacante le cuesta más lanzar el ataque, y también le cuesta más a la víctima mitigarlo. Hemos visto ataques muy grandes en el pasado sobre HTTP sin cifrar, pero este ataque destaca por los recursos que necesitó debido a su escala«.

Por otra parte, este ataque tiene entre sus características una que desde Cloudflare llevan viendo desde hace tiempo: el uso de centros de datos como puntos de lanzamiento, y que implica que los ciberatacantes están dejando atrás los tiempos en los que atacaban desde uno o varios ISPs.

Para mitigar el ataque, Cloudflare utilizó un sistema basado en software que detecta y mitiga automáticamente ataques de este tipo en la Red, sin necesidad de que intervengan para ello los humanos. El sistema hace copias del tráfico, analiza estas copias y mitiga la situación si es necesario.

El análisis se hace utilizando algoritmos de streaming de datos, y las copias de peticiones HTTP se comparan con huellas condicionales, y se crean varias firmas en tiempo real basadas en enmascaramiento dinámico de varios campos de peticiones y metadatos. Así, según apuntan desde Cloudflare, «cada vez que otra petición iguala una de las firmas, se incrementa un contados. Cuando se alcanza el límite de activación para una firma, se compila una regla de mitigación y entra en línea«.



« Especial »