¿Quién necesita una botnet cuando tienes un 4 Cañón DDoS de Gbps?

En los últimos meses, el mundo DDoS ha cambiado de ataques complejos de Botnet a pequeña escala a ataques DDoS basados ​​en redes mucho más grandes, perpetrados en gran parte por servidores web secuestrados.

Queda por ver cuántos de estos servidores secuestrados existen. Sin embargo, Incapsula recientemente tuvo una muy buena idea de cuán grandes se están volviendo estos cañones DDoS.

El sábado pasado, Incapsula mitigó un ataque DDoS de 4 Gbps bastante pequeño, pero esta vez tuvo un patrón diferente que atrajo nuestra atención.

A primera vista, el ataque parecía bastante simple, generando 8 millones de consultas DNS por segundo, a muchos dominios, desde direcciones IP falsificadas (usando IP de servidores de nombres de dominio reales). Pero esta vez incluyó una pista sobre de dónde venía: todo ese tráfico provenía de la misma fuente. Probablemente en la misma red, tal vez incluso el mismo dispositivo.

Rastreando a una sola fuente – Sorteo TTL

Incapsula pudo rastrear el ataque a una sola fuente porque esta vez los atacantes se deslizaron y no aleatorizaron las solicitudes TTL, haciendo que todo el tráfico llegara con el mismo IP TTL.

El parámetro TTL es parte del Protocolo de Internet. Es un campo que designa cuántos enrutadores puede pasar un paquete antes de que caduque. Cada enrutador en el camino disminuye el contador, hasta que caduca (muchas herramientas de diagnóstico, como traceroute, usan este atributo). Por supuesto, como muchos otros campos, su valor puede ser falso y aleatorio, pero es casi imposible hacer que millones de paquetes de muchas fuentes tengan el mismo TTL cuando lleguen a su destino y esto es exactamente lo que Gur Shatz, CEO y compañía de Incapsula -Fundador vio.

¿Son los servidores de nombres autorizados los siguientes en la lista de exploits?

Otro punto interesante que Incapsula vio es que las direcciones falsificadas pertenecían a servidores DNS, pero no todas eran soluciones de DNS abiertas. De hecho, muchas de estas IP eran de servidores de nombres autorizados.

La razón de la selección no aleatoria de IP fue evitar los mecanismos de listas negras. Pero significa que los piratas informáticos también están recopilando información sobre servidores de nombres autorizados. Usar estos en ataques de reflexión es un poco más complicado (significa construir una base de datos de dominios con grandes respuestas DNS), con un factor de amplificación mucho más pequeño, pero son mucho más difíciles de bloquear que los solucionadores DNS abiertos.

¿Entonces, qué significa esto?

Esto significa que las apuestas acaban de aumentar. Solo para comparar, a la velocidad de este ataque, si hubiera utilizado la amplificación DNS, con un factor de amplificación promedio de 50, ¡habría generado un ataque DDoS de más de 200 Gbps, todo desde una sola fuente / computadora!

¿Qué sabemos sobre esta fuente?

  • Es un hardware personalizado o un grupo de máquinas que comparten la misma red. Es (casi) imposible que una sola máquina genere este tipo de tráfico.
  • Podría utilizar 4 Gbps de ancho de banda ascendente, sin que nadie lo note.

En estos días no se necesita una Botnet para lanzar ataques masivos de DDoS. Ni siquiera necesita cientos de servidores, de múltiples proveedores de alojamiento. Ese tipo de potencia de fuego masiva se puede obtener de un solo cañón DDoS, desde una única ubicación y tal vez incluso un solo servidor.

Nota: Poste cruzado de Incapsula.