Cómo evitar un ataque DDos
El pasado 28 de febrero de 2018 GitHub sobrevivió el ataque DDoS más grande de la historia que se hubiese reportado hasta la fecha, y aunque el popular sitio de alojamiento de código -con un tráfico de aproximadamente 1,3 Tbps- fue capaz de resolver la situación en pocos minutos, el suceso puso en evidencia un nuevo problema relacionado con el método usado para llevar a cabo el DDoS: el abuso de servidores memcached. Antes de ello, el mayor ataque DDoS de la historia había sido el sufrido por Dyn en 2016 (1.2 Tbps).
Hace solo unos días los atacantes batieron de nuevo ese récord con otro ataque contra una compañía cuyo nombre no ha sido revelado. También se sabe que los atacantes que están detrás de estos ataques DDoS están extorsionando a sus víctimas.
El abuso de servidores memcached para amplificar ataques DDoS está creciendo en popularidad. Este tipo de ataques aprovechan el sistema de caché de servidores expuestos que se usan para optimizar sitios web que dependen de bases de datos externas.
El análisis hecho por WatchGuard
Tanner Harrison, del equipo de soporte técnico de WatchGuard, ha realizado un análisis sobre la causa del ataque a GitHub, además de aportar consejos sobre cómo se pueden evitar y soluciones para mitigarlos.
De acuerdo a este experto, un día antes del ataque, Akamai (el servicio de inteligencia DDoS y mitigación Cloud) descubrió un nuevo vector de ataque de reflexión DDoS que utiliza una nueva herramienta de red llamada memcached. Los ataques de reflexión utilizan tráfico UDP falso desde un servidor que aloja el servicio explotado para forzar el envío de datos a una víctima desprevenida. El atacante activa un servicio UDP para enviar una gran cantidad de datos a la víctima, con solo un pequeño paquete enviado por el atacante. Este ataque de reflexión específico utiliza memcached para amplificar tamaños de paquetes, con el fin de inundar el sitio de destino con datos. El ataque es como otros ataques conocidos de reflexión y amplificación DDoS, como DNS, TFTP, LDAP, SNMP, BitTorrent, entre otros. La diferencia clave es la potencia de amplificación que ofrece memcached.
En un ataque típico de amplificación DNS, se verían factores de amplificación de alrededor de 100, mientras que con el de reflexión desde un servidor memcache se vería un factor de más de 50.000.
La mejor forma de prevenir este tipo de ataque es asegurarse de que los reflectores potenciales (DNS, MemCache, TFTP, etc.), no estén expuestos a Internet, por lo que WatchGuard recomienda a todos los administradores de sistemas que “deshabiliten el protocolo de memcache en cualquier servidor expuesto a Internet, o al menos bloqueen el puerto UDP 11211”.
Prevención de ataques DDos
El ataque contra GitHub demuestra que debemos estar preparados para más ataques multi-gigabytes, tal como se ha visto con el protocolo de memcache y la botnet Mirai. Los administradores de TI deben planificar en consecuencia para mitigar estos riesgos. Y, para ello, deben utilizar firewalls on-premise o filtros de contenido, equipamiento especializado/balanceadores de carga, mitigación ISP y mitigación de terceros. Los dos últimos pasos se combinan. Para ataques a gran escala dependerá de la coordinación del ISP y un servicio de mitigación cloud de un tercero.
“Las soluciones DDoS híbridas o cloud manejan gran parte del ataque en sentido ascendente, distribuyen parte de la carga a través de una gran red distribuida y bloquean gran parte del tráfico incluso antes de que alcance sus puertas.”, reporta Corey Nachreiner, CTO de WatchGuard, en su publicación en el blog Secpliticy.
Estas soluciones DDoS en la nube o híbridas tienen la infraestructura, el ancho de banda y los recursos disponibles para mitigar estos ataques.
Fuente: IT Digital Security
En Alternativas en Computación contamos con un servicio de administración de seguridad y monitoreo que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio. Tenemos el conocimiento y las herramientas para ayudar a su empresa a prevenir y mitigar el riesgo que representa un ataque DDoS.
¡Si desea agendar una cita, por favor déjenos sus datos!