Cloudflare mitigó la campaña de DDoS más grande registrada: ¿en qué consistió?
Desde principios de septiembre, los sistemas de protección contra DDoS de Cloudflare han estado combatiendo una campaña de un mes de duración de ataques DDoS hipervolumétricos a las capas 3 y 4. Las soluciones de protección de Cloudflare mitigaron más de cien ataques DDoS hipervolumétricos a las capas 3/4 a lo largo del mes. Muchos de estos ataques superaron los 2000 millones de paquetes por segundo y los 3 terabits por segundo (Tb/s). El mayor ataque alcanzó un máximo de 3,8 Tb/s, el mayor ataque revelado públicamente por una organización. La detección y la mitigación fueron totalmente autónomas. Los gráficos siguientes representan dos ataques distintos dirigidos al mismo cliente de Cloudflare y que se mitigaron de forma autónoma.
Los clientes de Cloudflare están protegidos
Los clientes de Cloudflare que utilizan los servicios de proxy inverso HTTP de Cloudflare (por ejemplo, el WAF de Cloudflare y la CDN de Cloudflare) están protegidos automáticamente.
Los clientes de Cloudflare que utilizan Spectrum y Magic Transit también están protegidos automáticamente. Los clientes de Magic Transit pueden optimizar aún más su protección implementando reglas de Magic Firewall para aplicar un estricto modelo de seguridad positiva y negativa en la capa de paquetes.
Puede que otras propiedades de Internet no estén protegidas
La escala y la frecuencia de estos ataques no tienen precedentes. Debido a su gran tamaño y sus altas velocidades de bits/paquetes por segundo, estos ataques tienen la capacidad de interrumpir tanto las propiedades de Internet desprotegidas como las propiedades de Internet protegidas por equipos locales o por proveedores en la nube que simplemente carecen de la capacidad de red o de la cobertura global necesarias para gestionar estos volúmenes junto con el tráfico legítimo sin afectar al rendimiento.
Sin embargo, Cloudflare tiene la capacidad de red, la cobertura global y los sistemas inteligentes necesarios para absorber y mitigar automáticamente estos enormes ataques.
En esta publicación del blog, revisaremos la campaña de ataques y por qué sus ataques son tan graves. Describiremos la anatomía de un ataque DDoS a la capa 3/4, sus objetivos y cómo se generan los ataques. A continuación, detallaremos cómo los sistemas de Cloudflare fueron capaces de detectar y mitigar de forma autónoma estos enormes ataques sin afectar al rendimiento de nuestros clientes. Describiremos los aspectos clave de nuestras soluciones de protección, desde cómo nuestros sistemas generan firmas en tiempo real (dinámicas) para correlacionar el tráfico de ataque hasta cómo aprovechamos las funciones del kernel para descartar paquetes a velocidad de cable.
Análisis de la campaña
Hemos observado esta campaña de ataques dirigida a varios clientes de los sectores de servicios financieros, Internet y telecomunicaciones, entre otros. Esta campaña de ataques tiene como objetivo saturar el ancho de banda y agotar los recursos de las aplicaciones y los dispositivos en línea.
Los ataques utilizaron principalmente UDP en un puerto fijo. Provenían de todo el mundo, pero la mayor parte de ellos procedían de Vietnam, Rusia, Brasil, España y Estados Unidos.
Los ataques de alta velocidad de paquetes parecen originarse en varios tipos de dispositivos en riesgo, como dispositivos MikroTik, DVR y servidores web, orquestados para trabajar en conjunto e inundar el objetivo con volúmenes de tráfico excepcionalmente grandes. Los ataques de alta velocidad de bits parecen originarse en un gran número de enrutadores domésticos ASUS comprometidos, probablemente explotados mediante una vulnerabilidad CVE 9.8 (crítica) que Censys descubrió recientemente.
Para más información consulta el blog en el sitio de Cloudflare.