Bienvenidos a un nuevo artículo más de la serie de amenazas de ENISA, en este caso, dedicado a las Denegaciones de Servicio Distribuidas.
Ya sabemos todos que una Denegación de Servicio es cualquier escenario en el que un atacante es capaz de atacar la disponibilidad de un activo o servicio, consiguiendo desde degradar el acceso hasta inutilizarlo por completo. Aunque normalmente pensamos en los ataques que desbordan la red de la víctima, también son conocidas otras variantes como:
- Aquellos que están dirigidos a saturar las capacidades de cómputo del sistema, mediante la invocación continuada de funciones que hagan uso intensivo de la CPU, de memoria o del espacio en disco.
- Los que directamente explotan unaa vulnerabilidad software que provoca el bloqueo o cierre del proceso, por ejemplo, mediante algún tipo de desbordamiento.
Cuando hablamos de ataques de Denegación de Servicio Distribuido, normalmente hacemos referencia a ataques volumétricos, en los que se utilizan grandes cantidades de nodos de Internet para lanzar cantidades masivas de información contra la víctima. Esto se puede conseguir tanto de forma directa, como mediante ataques de reflexión, o incluso apoyándose en técnicas de amplificación, en las que el atacante es capaz de provocar el envío de enormes cantidades de información sobre un activo a través de peticiones más pequeñas específicamente dirigidas contra otros activos. En este sentido, investigadores de akamai llegaron a investigar incidentes en los que se logró amplificar hasta un 15.000% el envío original de datos.
Como ya se lleva tiempo avisando, y pudimos comprobar con los ataques relacionados con Mirai, las vulnerabilidades en dispositivos conectados IoT, han permitido crear enormes botnets que se utilizan, entre otras cosas, para lanzar este tipo de ataques. En este sentido, se menciona a China, Brasil e Irán como los países con la mayor cantidad de dispositivos infectados. En el estudio también se menciona como la gran mayoría de ataques están basados en SYN-Flood, aunque además, casi siempre se usan más de dos vectores de ataque para garantizar el éxito. Curiosamente la mayoría de estos incidentes no duran más de 10 minutos, aunque el ataque de mayor duración en la fecha del estudio duró más de 20 días.
Un caso bastante curioso fue el de un ataque que fue capaz de tumbar un ISP de Sudáfrica mediante la técnica del “Carpet Bombing”. En este ataque se consiguió degradar el servicio usando ataques de amplificación aprovechándose de servidores DNS y CLDAP que no estaban parcheados, redirigiendo el tráfico de forma masiva a IPs de los clientes del proveedor. Normalmente los routers edge del ISP suelen estar bien protegidos contra ataques de DDoS, por lo que en ataques directos habrían descartado todo el tráfico basura. En su lugar se lanza tráfico de forma masiva a muchos clientes en las diferentes redes del ISP, y aunque este tráfico no es suficiente por si sólo para afectar las conexiones individuales de los clientes, al final este genera más tráfico reflejado a lo largo de toda la red, y en conjunto, antes o después la red del ISP se ve saturada. Al no ser un ataque directo contra los routers edge, las medidas de seguridad para prevenir el DDoS no entran en juego, y básicamente son inundados. El resultado para los clientes del ISP es, a efectos prácticos, fue acabar desconectado de Internet.
Por curiosidad, el ataque más grande hasta la fecha, del que se defendió con éxito Amazon, fue un ataque que llegó a los 2.3Tbps. Si queréis más información de este y otros importantes ataques, podéis leer este artículo sobre los mayores DDoS de la historia.
¿Y qué podemos hacer, según ENISA, para protegernos de este tipo de ataques?
- Por un lado, tener claro qué servicios y recursos son críticos para priorizar las medidas defensivas en aquellos puntos que puedan ser saturados, y tener diseñado un plan de respuesta para estos escenarios.
- Existen multitud de servicios de protección contra DDoS que pueden ser evaluados según necesidad.
- La publicación de servicios a través de CDNs puede ser útil para absorver los intentos de ataque volumétricos.
- Obviamente, los proveedores de acceso a Internet y proveedores Cloud, por su posición en la red, tienen un gran capacidad a la hora de proteger de DDoS. Tener un canal de comunicación rápido y directo con ellos puede ser de gran utilidad.
- Tener una buena postura de seguridad, realizando revisiones periódicas, asegurando de que configuramos de forma óptima cada sistema y servicio, y utilizando técnicas como el uso de servidores de caché, descartar tráfico no legítimo, etc.
- Analizar nuestro propio entorno desde dentro hasta fuera, desde los activos críticos en el interior de la red, hasta la presencia y exposición en Internet, con el objetivo de detectar puntos de fallo, posibles riesgos y amenazas, etc.
Como siempre, recordad que en numerosas ocasiones este tipo de ataques se utilizan para desviar los ojos del equipo defensor, y así poder atacar, esta vez de forma bastante más sútil, en otro punto de la red ;)
¡Nos vemos en la próxima, saludos!
No hay comentarios:
Publicar un comentario