Cómo prevenir y mitigar un ataque DDoS

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo utilizar la Dark Web

El pasado día 2 de marzo GitHub sobrevivió al mayor ataque DDoS hasta la fecha con un tráfico de aproximadamente 1,3 Tbps. y, hace solo unos días los atacantes ya han batido ese récord con otro ataque de amplificación UDP Memcrashed, contra una compañía cuyo nombre no ha sido revelado. También se sabe que los atacantes que están detrás de estos ataques DDoS están extorsionando a sus víctimas.

El mayor ataque registrado anteriormente fue en 2016 cuando la botnet Mirai lanzó un DDos de 1,2 Tbps contra DYN DNS, tumbando su red,  y gran parte de Internet junto a ella.

El análisis de WatchGuard
Tanner Harrison, del equipo de soporte técnico de WatchGuard, ha hecho un análisis sobre la causa del ataque a GitHub, además de aportar consejos sobre cómo se pueden evitar y soluciones para mitigarlos.

Según explica este experto, un día antes del ataque, Akamai (el servicio de inteligencia DDoS y mitigación Cloud) descubrió un nuevo vector de ataque de reflexión DDoS que utiliza una nueva herramienta de red llamada memcached. Los ataques de reflexión utilizan tráfico UDP falso desde un servidor que aloja el servicio explotado para forzar el envío de datos a una víctima desprevenida. Los ataques de amplificación llevan el ataque de reflexión un paso más allá. El atacante activa un servicio UDP para enviar una gran cantidad de datos a la víctima, con solo un pequeño paquete enviado por el atacante. Este ataque de reflexión específico utiliza memcached para amplificar tamaños de paquetes, con el fin de inundar el sitio de destino con datos. El ataque es como otros ataques conocidos de reflexión y amplificación DDoS, como DNS, TFTP, LDAP, SNMP, BitTorrent, entre otros. La diferencia clave es la potencia de amplificación que ofrece memcached.

En un ataque típico de amplificación DNS, se verían factores de amplificación de alrededor de 100, mientras que con el de reflexión desde un servidor memcache se vería un factor de más de 50.000.

La mejor forma de prevenir este tipo de ataque es asegurarse de que los reflectores potenciales (DNS, MemCache, TFTP, etc.), no estén expuestos a Internet, por lo que WatchGuard recomienda a todos los administradores de sistemas que “deshabiliten el protocolo de memcache en cualquier servidor expuesto a Internet, o al menos bloqueen el puerto UDP 11211”.

El ataque contra GitHub demuestra que tenemos que estar preparados para más ataques multi-gigabytes, tal como se ha visto con el protocolo de memcache y la botnet Mirai. Los administradores de TI deben planificar en consecuencia para mitigar estos riesgos. Y, para ello, deben utilizar firewalls on-premise o filtros de contenido, equipamiento especializado/balanceadores de carga, mitigación ISP y mitigación de terceros. Los dos últimos pasos se combinan. Para ataques a gran escala dependerá de la coordinación del ISP y un servicio de mitigación cloud de un tercero. Como Corey Nachreiner, CTO de WatchGuard, en su publicación en el blog Secpliticy, “las soluciones DDoS híbridas o cloud manejan gran parte del ataque en sentido ascendente, distribuyen parte de la carga a través de una gran red distribuida y bloquean gran parte del tráfico incluso antes de que alcance sus puertas.”

Estas soluciones DDoS en la nube o híbridas tienen la infraestructura, el ancho de banda y los recursos disponibles para mitigar estos ataques.