sábado, 3 de marzo de 2018

El mayor ataque DDoS de la historia mitigado en minutos

El 28 de Febrero, GitHub recibió el mayor ataque de denegación de servicio hasta la fecha y logró resolverlo en 8 minutos.

Es increible pero cierto, a pesar de nadie darse cuenta, GitHub fue atacada el pasado Miércoles. Sorprendentemente, la plataforma fue capaz de mitigarlo en minutos sin que los usuarios tuvieran afectación alguna.



Como vemos en la imagen, el pico de tráfico de este ataque llegó a los 1,35Tbps enviados a través de 126,9 millones de paquetes por segundo.

A diferencia del resto de ataques DDoS que solemos ver, este no utilizó ninguna botnet para realizarse, sino que hizo uso de los servidores memcached para aumentar la fuerza del ataque original.

Los servidores memcached son utilizados para el almacenamiento en caché de datos u objetos en la memoria RAM, reduciendo así la necesidad de acceso a un origen de datos externo, y con ello aumentando la velocidad de trabajo usual.

Estos servidores no están preparados para estar expuestos en línea. Según la empresa WIRED, hay alrededor de 100.000 servidores memcached accesibles en internet los cuáles no requieren de autenticación. Cualquier atacante puede acceder a ellos, enviar un paquete y el servidor responderá con una respuesta mucho mayor.

Una de las maneras más sencillas de mitigar el abuso de estos servidores es mediante firewall, limitando la velocidad de los paquetes UDP de salida.

La empresa encargada de mitigar el ataque a GitHub fue Akamai Prolexic. Prolexic se hizo cargo como intermediario enrutando todo el tráfico que entraba y salía de GitHub, y enviaba los datos a través de sus centros de depuración para eliminar y bloquear los paquetes maliciosos. A los 8 minutos los atacantes cedieron y pararon el DDoS.

A pesar de no haber habido un gran destrozo, este ataque muestra los peligros que implican los servidores memcached expuestos. Esperemos que los dueños de este tipo de servidores tomen conciencia y apliquen las medidas necesarias para que no vuelva a ocurrir.


Daniel Púa
@arrowcode_
dpua@hispasec.com

Más información: 

Reporte de WIRED: