Get best of the week

Tipo de denegación de servicio: cómo progresa DDoS

Buenos viejos DDoS ... Cada año analizamos cómo está cambiando este segmento de cibercrimen, y de acuerdo con los resultados del último y el comienzo de este año, vemos que el número de tales ataques ha crecido en más de 1.5 veces. Durante este tiempo, los atacantes aumentaron significativamente el poder de los ataques y cambiaron las tácticas. Y además, DDoS se ha vuelto aún más accesible: a juzgar por cuán abruptamente ha aumentado el número de ataques a recursos educativos y varios "diarios electrónicos", los piratas escolares están descubriendo cada vez más el mundo de DDoS. En esta publicación, hablaremos sobre los ataques DDoS que registramos en 2019 y a principios de 2020, y cómo DDoS ha cambiado recientemente.



Rápido y potente


Los hackers aceleraron. Los ataques de baja potencia que duran varios días ahora no les interesan. Por ejemplo, el ataque más largo durante el período del informe duró aproximadamente un día (un año antes, los atacantes "torturaron" al servidor durante 11 días y 16 horas).

Por supuesto, los atacantes no aflojaron su agarre; en contraste con la duración, el poder de los ataques DDoS aumentó. El ataque más poderoso en el último período se llevó a cabo con una intensidad de 405 Gbit / s. Esto, por supuesto, es ligeramente más bajo que el récord de ataque del modelo 2018 (450 Gbit / s) para la red Rostelecom, pero en promedio, los indicadores de potencia DDoS aún aumentaron. El cambio en las tácticas de los hackers puede explicarse por el hecho de que durante el ataque, los botnets, que son un activo valioso, pueden ser revelados por los defensores. Después de neutralizar el ataque, los datos de la dirección de botnet están disponibles para otros operadores como parte del intercambio de información, y la botnet ya no es adecuada. Si ataca rápidamente a la víctima con una poderosa ola de solicitudes, entonces el servicio anti-DDoS simplemente no tiene tiempo para llenar la lista negra.

DDoS Technologies - Arsenal Nuevo


Para realizar sprints con explosiones de tráfico espurio, necesita una buena base técnica. Y recientemente, los atacantes lo han bombeado bien. Llamamos la atención sobre la aparición de nuevos amplificadores potentes, que comenzaron a utilizarse activamente en los ataques DDoS.

En primer lugar, este es el protocolo de escritorio remoto de Apple basado en UDP (puerto UDP 3283), cuyo factor de amplificación es 35.5: 1 (datos Netscout). Apple Remote Desktop es una aplicación de administración remota de estación de trabajo macOS. ARMS (Servicio de Administración Remota de Apple) accede a un puerto UDP que siempre está abierto en estaciones de trabajo que ejecutan macOS cuando el modo de Administración Remota está habilitado, incluso si entra en conflicto con la configuración de seguridad en el firewall. Hoy, más de 16 mil computadoras que ejecutan macOS con un puerto UDP abierto están registradas en la red global.

Además, los ciberdelincuentes utilizan activamente el protocolo de descubrimiento de dispositivos WS-Discovery (descubrimiento dinámico de servicios web) que se usa en las soluciones de IoT. Su factor de amplificación es 500: 1. Al igual que Apple Remote Desktop, WS-Discovery transmite paquetes utilizando el protocolo basado en UDP, que permite a los piratas informáticos utilizar la suplantación de paquetes (suplantación de direcciones IP). BinaryEdge contó alrededor de 630 mil dispositivos con esta vulnerabilidad en Internet (datos de septiembre de 2019). ¡Aprovecha, no quiero!

No se olvide de una de las principales herramientas para DDoS: las botnets de dispositivos IoT. El ataque inteligente más poderoso registrado por nosotros fue en 2019: 178 Mpps golpearon a una de las compañías de apuestas. Los atacantes usaron una botnet de 8 mil dispositivos reales: enrutadores domésticos, cámaras y otros IoT, así como teléfonos móviles. No me gustaría estafar la presión, pero existe la clara sensación de que 5G e IPv6 nos traerán nuevos "registros".

Tipos de ataque más populares


En general, el método más popular de ataques DDoS sigue siendo la inundación UDP, aproximadamente el 32% del volumen total de ataques. En el segundo y tercer lugar: inundación SYN (27.4%) y ataques con paquetes fragmentados (14.2%). No muy lejos de los líderes están los ataques de amplificación de DNS (13.2%).

Los atacantes también están experimentando con los protocolos actualmente raramente utilizados: 16 (CHAOS) y 111 (IPX sobre IP). Sin embargo, es más probable que tales ataques sean una excepción: los clientes no utilizan estos protocolos en la vida real y pueden detectarse y descartarse fácilmente cuando se suprimen los ataques.

Entre los ataques inusuales del año pasado, se puede observar el llamado "bombardeo de alfombra". Se caracterizan por reventar objetivos en el espacio de direcciones de la víctima y buscar a los más vulnerables. Esto complica la detección y la lucha contra tales ataques en el modelo de protección por IP, cuando solo las direcciones IP individuales están protegidas, y no toda la infraestructura de Internet. El "bombardeo de alfombras" más masivo registrado por nosotros incluyó casi 3 mil objetivos: se intentó cada dirección de todas las redes de un cliente.

Recientemente, los atacantes comenzaron a combinar diferentes tipos de ataques. Un ejemplo de tal cóctel DDoS es la reflexión SYN + ACK. En este tipo de ataque, se utilizan recursos públicos de terceros, a los que se envía un paquete SYN con una dirección de víctima falsa como fuente. Los servidores de terceros responden con un paquete SYN + ACK a una víctima cuya pila TCP sufre de procesar paquetes que llegan fuera de cualquier sesión. Observamos una situación en la que ambas partes, tanto la víctima como los recursos de terceros utilizados para reflexionar, eran nuestros clientes. Para el primero, parecía una reflexión SYN + ACK, para el segundo como inundación SYN.

Nuevas y viejas victimas


Primeras dos palabras sobre nuestra metodología. Dado que este estudio se basa en datos sobre ataques contra clientes del servicio Rostelecom Anti-DDoS, al determinar las industrias más atacadas, formamos dos sectores analíticos:

  1. distribución simple del número total de ataques registrados por industria,
  2. aumento promedio en el número de ataques por cliente de la industria. Este indicador elimina el posible error asociado con un aumento en el número de clientes de una industria en particular (y, en consecuencia, un aumento en el número de ataques registrados).

Entonces, ¿qué hemos visto?

Por industria


Como se mencionó anteriormente, el número de ataques DDoS está creciendo. Incluso el cierre de varios factores estresantes significativos y, de hecho, los servicios para organizar DDoS (Quantum Stresser, ExoStress.in, QuezStresser.com, etc.) no afectan esta dinámica. DDoS sigue siendo barato y lo suficientemente fácil. El pico de los ataques ocurrió en octubre de 2019, cuando las tiendas en línea se preparaban para el Black Friday. DDoS en ese momento se convirtió en la misma tradición que "descuentos de hasta el 90%". Al mismo tiempo, los grandes jugadores del mercado son atacados mediante ataques dirigidos a múltiples vectores, sin duda.

La industria del juego sigue siendo el líder en DDoS: representó el 34% del número total de ataques (contra el 64% en 2018). Esto no significa que los hackers hayan perdido interés en los juegos: la cantidad de ataques en el segmento no ha disminuido, pero debido a la aparición de nuevas víctimas, la participación de esta industria se ha "erosionado".

Sin embargo, los eSports en su conjunto siguen siendo un tidbit. Los protocolos de juego usan UDP como transporte. Esto permite no solo reemplazar las direcciones del remitente, sino que también dificulta el seguimiento de las sesiones. Durante el período del informe, observamos dos tipos principales de ataques DDoS a nivel de aplicación en servidores de juegos. El primero logra su inaccesibilidad mediante el envío de una gran cantidad de paquetes que, para un servicio de protección de terceros, parecen legítimos. La protección contra tales ataques se basa en la creación de perfiles de tráfico legítimo y medidas como regexp y desafío-respuesta.

El segundo tipo está asociado con la explotación de vulnerabilidades identificadas en los protocolos y plataformas de juegos. En este caso, la protección proactiva requiere una clase diferente de dispositivos: firewall de aplicaciones de juegos. Las grandes empresas y fabricantes de alojamiento de juegos están tratando de proteger los servidores al incorporar varias comprobaciones en sus programas de cliente y asociarlos con sistemas de protección desarrollados de forma independiente.

Las compañías de telecomunicaciones ocuparon el segundo lugar en popularidad, su participación en el volumen total de ataques creció significativamente: del 10% al 31%. Como regla general, estos son pequeños ISP regionales, varios centros de alojamiento y datos que no tienen los recursos para repeler ataques poderosos, por lo que se convierten en una víctima fácil para los piratas informáticos.

Además de las telecomunicaciones, los atacantes llamaron la atención sobre las instituciones educativas y el sector público. Anteriormente, su participación en el volumen total de ataques DDoS era del 1% y del 2%, respectivamente, pero a lo largo del año aumentó al 5% para cada uno de los segmentos. Atribuimos esto a la digitalización y al lanzamiento de nuestros propios recursos de Internet, de los cuales dependen cada vez más las actividades de tales organizaciones, especialmente durante el período de autoaislamiento.

En otros sectores sin cambios significativos:



Ataques por cliente


El aumento promedio en el número de ataques por cliente se ha acelerado significativamente. Si en 2018 fue del 21%, entonces, según los resultados de 2019 y principios de 2020, alcanzó el 58%. Las instituciones educativas mostraron el mayor incremento en el número de ataques por cliente: 153%. Estos son diarios electrónicos, sitios con tareas y cuestionarios, todo lo que impide que los estudiantes disfruten de la vida. Es posible que los iniciadores de tales ataques sean a menudo los piratas informáticos de la madre, los propios estudiantes, lo que demuestra una vez más la simplicidad de organizar DDoS en recursos tan inseguros como sitios escolares, por ejemplo.

El crecimiento de los ataques en un cliente:


Qué hacer


La cantidad de ataques DDoS crecerá, aparecerán nuevos amplificadores, tipos de ataques y, naturalmente, nuevos objetivos para los atacantes. Pero, como dice la tercera ley de Newton,
hay oposición a cada  acción.

Se conocen los métodos de prevención DDoS: habría un deseo de abordar finalmente este problema. Para no producir botnets de IoT: elimine oportunamente las vulnerabilidades en todos sus dispositivos, controle los puertos y no use IPv6.

Para configurar adecuadamente la protección en las condiciones de los vectores de ataque que cambian rápidamente: use opciones preparadas para contrarrestar tipos específicos de ataques conocidos y verificar regularmente su infraestructura.

En general, se puede ver que los problemas actuales en el campo de DDoS están de alguna manera interconectados. Por lo tanto, es necesario proteger las aplicaciones y la infraestructura, especialmente el segmento crítico del negocio, de manera integral, en las diferentes etapas del filtrado.

More articles:


All Articles