Voici à quoi ressemblait la plus grande attaque DDoS de l'histoire.

Así lució el mayor ataque DDoS de la historia.

En comparación con la sofisticación que pueden tener los ataques de ransomware, o la «belleza intrínseca» que pueden tener los ataques de phishing más complejos, los ataques de denegación de servicio (DDoS) pueden parecer los más crudos: millones de solicitudes dirigidas a una dirección IP para desmantelar un servidor o grupo de servidores.

Y a pesar de que la técnica pueda parecer «rudimentaria» y sin ventajas económicas evidentes (la palabra clave aquí es «obvio»), lo cierto es que los grupos que se organizan para llevar a cabo este tipo de ataques no sólo son cada vez más grandes. , pero en los últimos meses han demostrado cómo sus acciones pueden afectar a toda la red.

Un buen ejemplo es Microsoft. Su equipo de protección Azure DDoS acaba de anunciar que en noviembre pasado repelió lo que los expertos de la industria dijeron que era probablemente el mayor ataque DDoS de la historia: un torrente de datos no deseados con un «diluvio de». 3,47 terabits por segundo . El ataque proviene de 10.000 sitios diferentes en al menos diez países. Redmond dijo que el ataque tuvo como objetivo una gran empresa asiática y duró dos minutos.

En diciembre, la empresa detectó dos ataques masivos más contra algunos de sus clientes. La primera, que se desarrolló en cuatro «oleadas», tuvo una velocidad de datos de 3,25 TBps y duró quince minutos. El segundo, en el mismo mes, alcanzó un máximo de 2,54 TBps y duró cinco minutos.

Como explica la multinacional americana, estos ataques son ya un 35% superiores a los registrados en 2018, lo que nos indica una tendencia que, lejos de desaparecer, irá y seguirá aumentando, especialmente de este último tipo que se detecta estas últimas veces. Hay que tener en cuenta a este respecto que los ataques DDoS de paquetes por segundo operan agotando los recursos informáticos de un servidor mientras que los ataques volumétricos más tradicionales, por otro lado, consumen ancho de banda disponible, ya sea dentro de la red o servicio objetivo, o entre el objetivo y el resto de Internet. En el nuevo récord del pasado mes de noviembre, los atacantes lograron entregar aproximadamente 340 millones de paquetes por segundo.

A lire également  ¿Cómo optimizar la configuración de su red?

La lógica de un súper ataque DDoS

¿Cómo se llevan a cabo ataques DDoS tan masivos? Como explica Ars Technica, uno de los métodos «tradicionales» es aumentar la cantidad de computadoras, enrutadores y otros dispositivos conectados a Internet que han sido comprometidos y, por lo tanto, «reclutados» en su «ejército». Esta categoría también incluye grandes servidores infectados que ya tienen una mayor ancho de banda que pueden usar .

Otra forma de hacer esto es usar Vectores de amplificacion . En este tipo de ataque, los ciberdelincuentes apuntan a dispositivos conectados a Internet mal configurados, que luego redirigen un ataque mucho mayor al objetivo final. Es este último método el que está detrás de la reciente “carrera armamentista” en el mundo de los ataques DDoS.

Es bien sabido que los ciberdelincuentes que utilizan este método buscan constantemente nuevos vectores de amplificación. En 2014 se puso de moda el ataque NTP (Network Time Protocol), provocando la caída de servidores de empresas como Steam, Origin o EA. Este método Este método permitió multiplicar el rendimiento del ataque por 206. lo que significa que un gigabyte de datos entregado por un dispositivo vectorizado alcanza los 206 gigabytes cuando llega a su objetivo final.

En 2018, los atacantes comenzaron a utilizar memcachd, un sistema de almacenamiento en caché de bases de datos para acelerar los sitios web y las redes, lo que ayudó a amplificar el ataque inicial. hasta 51.000 veces . Un año después, DDoS fue compatible con dispositivos que utilizaban WS-Discovery, un protocolo que se encuentra en una amplia gama de cámaras, DVR y otros dispositivos de Internet de las cosas conectados a la red.

Más recientemente, los ataques DDoS han explotado el RDP de Microsoft y servidores mal configurados que ejecutan CLDAP (abreviatura de Connectionless Lightweight Directory Access Protocol) y Plex Media Server cuando se ejecuta el Simple Service Discovery Protocol (o SSDP).

Lamentablemente, todavía hay millones de dispositivos conectados a Internet que no están configurados correctamente. Por tanto, seguiremos viendo este tipo de ataques en los meses y años venideros, ocupando un lugar especialmente importante en los actos de sabotaje y ciberguerra.