GitHub sobrevive al ataque DDoS más grande jamás registrado

dos1

Imágenes Getty

El miércoles, sobre las 12:15 del medio día, un tráfico de 1.35 terabits por segundo llegó a la plataforma de desarrollo GitHub al mismo tiempo. Ha sido el ataque de denegación de servicio distribuido más poderoso registrado hasta la fecha, y usaba un método DDoS cada vez más popular, que no requiere botnet.

GitHub respondió con interrupciones intermitentes mientras que un sistema digital evaluaba la situación. En menos de 10 minutos había solicitado automáticamente ayuda de su servicio de mitigación de DDoS, Akamai Prolexic. Este tomó el control como intermediario, dirigiendo todo el tráfico que entraba y salía de GitHub, y envió los datos a través de sus centros de depuración para eliminar y bloquear paquetes maliciosos. Después de ocho minutos, los atacantes cedieron y terminó el ataque.

La escala del ataque tiene pocos paralelos, solo se le puede comparar un DDoS masivo que atacó a la empresa de infraestructura de Internet Dyn a finales de 2016. Dicho aluvión alcanzó su punto máximo en 1,2 Tbps causando problemas de conectividad en todos los Estados Unidos mientras Dyn luchaba para controlar la situación.

Preparamos nuestra capacidad basandonos en cinco veces el ataque más grande que Internet haya sufrido jamás “, dijo Josh Shaul, Vicepresidente de Seguridad Web de Akamai a WIRED, horas después de que finalizara el ataque a GitHub. “Así que podria estar seguro de que poder soportar 1.3 Tbps, pero al mismo tiempo nunca tuvimos un terabit y medio de forma simuoltánea. Una cosa es la esperanza y otra cosa es la realidad“.

dos1
Tráfico en tiempo real desde el ataque DDoS.

 

Akamai

Akamai se defendió contra el ataque de varias maneras. Además de la infraestructura general de defensa DDoS de Prolexic, la firma también había implementado recientemente mitigaciones específicas para un tipo de ataque DDoS derivado de los llamados servidores memcached. Estos sistemas de almacenamiento en caché de bases de datos funcionan para acelerar redes y sitios web, pero no están pensados para ser expuestos en Internet público; cualquiera puede consultarlos, y responderán igualmente a cualquiera. Alrededor de 100.000 servidores memcached, en su mayoría propiedad de empresas y otras instituciones, se encuentran actualmente expuestos en línea sin protección de autenticación, lo que significa que un atacante puede acceder a ellos, y enviarles un paquete de comando especial al que el servidor responderá con una respuesta mucho mayor.

A diferencia de los ataques formales de botnet usados con gran poder de DDoS, como contra Dyn y el OVH francés de telecomunicaciones, los ataques DDoS memorizados no requieren una red de botnets dirigida por malware. Los atacantes simplemente falsifican la dirección IP de su víctima, envían pequeñas consultas a múltiples servidores memcached -aproximadamente 10 por segundo por servidor- que están diseñadas para obtener una respuesta mucho mayor. Los sistemas memcached devuelven 50 veces los datos de las solicitudes a la víctima.

Conocido como un ataque de amplificación, este tipo de DDoS ha aparecido antes. Pero a medida que los proveedores de infraestructura y servicios de Internet han visto cómo los ataques DDoS se han intensificado durante la última semana, se han movido rápidamente para implementar defensas que bloquean el tráfico procedente de servidores memcached.

Los ataques DDoS de gran envergadura, como los que son posibles gracias al uso abusivo de memcached, son motivo de preocupación para los operadores de redes“, afirma Roland Dobbins, ingeniero principal de la empresa de DDoS y seguridad de red Arbor Networks, que ha estado siguiendo la tendencia de ataques memorizados. “Su gran volumen puede tener un impacto negativo en la capacidad de las redes para manejar el tráfico de Internet de los clientes.”

La comunidad de la infraestructura también ha empezado a intentar abordar el problema subyacente, pidiendo a los propietarios de los servidores memcached expuestos que los saquen de Internet, manteniéndolos a salvo detrás de los cortafuegos de las redes internas. Grupos como Prolexic que se defienden contra ataques DDoS activos ya han añadido o están codificando  filtros que de forma ràpida comienzan a bloquear el tráfico memcached al detectar una cantidad sospechosa del mismo. Y si las empresas de backbone de Internet pueden determinar el comando de ataque utilizado en un DDoS memorizado, pueden adelantarse al tráfico malicioso bloqueando cualquier paquete memorizado de esa longitud.

El ataque del miércoles no fue el primer gran ataque DDoS que tuvo como objetivo a GitHub. La plataforma se enfrentó a uno durante seis días en marzo de 2015, posiblemente perpetrado por piratas informáticos patrocinados por el estado chino. El ataque fue impresionante para el 2015, pero las técnicas y plataformas DDoS -particularmente Internet de las Cosas- han evolucionado y se han vuelto cada vez más poderosas. Para los atacantes, sin embargo, la belleza de los ataques DDoS memorizados es que no hay malware que distribuir y no hay botnet que mantener.

La empresa de vigilancia web y de inteligencia de red ThousandEyes observó el ataque del GitHub el miércoles. “Fue una mitigación exitosa. Todo transcurrió en 15 a 20 minutos“, dice Alex Henthorne-Iwane, vicepresidente de marketing de productos de ThousandEyes. “Si observas las estadísticas, verás que la detección de ataques DDoS a nivel mundial por sí solo suele llevar más de una hora. Cuando todo sucede en 20 minutos sabes que está manejado principalmente por software. Es bueno ver una foto del éxito“.

GitHub continuó dirigiendo su tráfico a través de Prolexic durante unas horas para asegurarse de que la situación se resolvía. Akamai sospecha que los atacantes atacaron a GitHub simplemente porque es un servicio de alto perfil que sería impresionante de derribar. Los atacantes también podrían haber esperado sacar un rescate. “La duración de este ataque fue bastante corta“, dice. “Creo que no tuvo ningún impacto, así que pensaron que no valía la pena perder más tiempo.”

Sin embargo, hasta que los servidores memcached no salgan del Internet público, es probable que los atacantes lo intenten de nuevo a un DDoS de esta escala.

Video relacionado

video

¿Qué es un Hack DDoS y cómo evitarlos?
DDoS! Representa la negación distribuida del servicio, una especie de ataque que convierte los dispositivos inseguros conectados a Internet en una especie de ejército zombie. Así es como puedes evitar ser parte de ese ejército de zombis.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: