Ataques DDoS: los bombardeos en alfombra aumentan rápidamente

En los últimos años, los ataques distribuidos de denegación de servicio (DDoS) se han vuelto más frecuentes y sofisticados. Los malos actores continúan encontrando nuevas formas de inundar las redes objetivo con ataques a gran escala que crecen exponencialmente y utilizan diferentes técnicas de ataque.

El bombardeo masivo es una de esas técnicas destructivas que se ha convertido en una gran preocupación para las empresas y los proveedores de servicios en todo el mundo, especialmente porque está siendo utilizada con mayor frecuencia por hacktivistas sofisticados.

El impacto de los ataques DDoS con bombas en alfombra puede ser devastador para una organización. Provocan tiempos de inactividad prolongados en grandes partes de la red, además de provocar pérdidas financieras y daños a la reputación.

Los ataques DDoS están diseñados para abrumar los recursos del objetivo, haciendo que sus servicios sean inaccesibles para los usuarios legítimos. Sin embargo, los bombardeos masivos llevan el ataque DDoS tradicional a un nivel completamente nuevo al aprovechar una vasta red de botnets para orquestar ataques simultáneos contra múltiples objetivos. La enorme escala y complejidad de este enfoque hacen que defenderse contra él sea particularmente difícil.

Aquí hay tres elementos de un ataque con bombas en alfombra.

1. Reclutamiento de botnets: Los atacantes reclutan una gran cantidad de dispositivos comprometidos, incluidos ordenadores, servidores, enrutadores y dispositivos IoT, sin el conocimiento de sus propietarios. Luego, estos dispositivos se agregan a una botnet.2. Ejecución del ataque:Una vez que se recluta la botnet, lo más probable es que el atacante se retire y espere con el comando de ataque porque supone que el objetivo tiene una solución de mitigación.

Luego, el atacante enviará un ataque disperso, en lugar de enviarlo a direcciones IP de destino individuales, para intentar medir los umbrales configurados y buscar qué se puede y qué no se puede violar.

En última instancia, buscan un punto óptimo justo por debajo del umbral de tasa configurado. Una vez que se encuentra esto, el atacante retrocederá o tal vez lo mantendrá durante un período de tiempo (de horas a días) para comprender si fue detectado y incluido en la lista de bloqueo.

Ahora para el comando de ataque. El atacante inicia el mismo volumen de tráfico malicioso, esta vez bombardeando toda la(s) subred(es) o CIDR(es) (miles de IP de destino) al mismo tiempo.

Al permanecer por debajo del umbral, todos los servidores atacados intentan responder, lo que crea una inundación abrumadora que hará que los servicios internos, incluido el dispositivo de mitigación, sufran. Esta avalancha de tráfico abruma la infraestructura de red del objetivo, haciendo que los servicios en línea sean inaccesibles.

3. Un enfoque multivectorial: El bombardeo de alfombras DDoS emplea múltiples vectores de ataque, incluidos ataques volumétricos (inundando la red con tráfico excesivo), ataques a la capa de aplicación (dirigidos a aplicaciones o servicios específicos) y ataques de protocolo (explotando vulnerabilidades en los protocolos de red). Este enfoque multifacético maximiza las posibilidades de éxito.

Protegerse contra ataques DDoS masivos es más difícil que protegerse contra un ataque enfocado simplemente porque la mayoría de los proveedores de DDoS mitigan las direcciones IP individuales y no las subredes y redes. Las consecuencias de una mala protección varían.

Las organizaciones que son objeto de bombardeos DDoS pueden experimentar importantes interrupciones en el servicio, lo que genera pérdidas financieras, reputación empañada e insatisfacción de los clientes. La falta de disponibilidad de servicios críticos puede causar graves desafíos operativos.

Dado que los bombardeos DDoS se dirigen simultáneamente a múltiples entidades, los daños colaterales también son algo común. Incluso si un objetivo logra mitigar el ataque, el gran volumen de tráfico malicioso puede afectar la infraestructura más amplia, provocando ralentizaciones o interrupciones para otros usuarios y servicios.

Para protegerse contra ataques masivos, las organizaciones deben seguir varias prácticas recomendadas. Para empezar, necesitarán un detector y mitigador de DDoS que sea capaz de mostrar el monitoreo de la red en tiempos de paz, así como identificar patrones de tráfico anormales y posibles ataques DDoS en tiempo real. La detección temprana permite una respuesta rápida. El siguiente paso es contar con una contramedida de mitigación automática.

Además, las organizaciones deben asegurarse de que su infraestructura de red pueda soportar picos inesperados de tráfico. Es esencial invertir en ancho de banda escalable, balanceadores de carga y un dispositivo sólido de detección y mitigación que pueda manejar el ataque a gran escala y garantizar la disponibilidad del servicio.

Por último, las organizaciones deben colaborar con un proveedor de servicios de mitigación de DDoS de buena reputación. Estos servicios emplean técnicas avanzadas de filtrado de tráfico y tienen la experiencia para manejar ataques a gran escala. Una solución de proveedor líder de DDoS debe identificar y bloquear el tráfico malicioso, garantizando que las solicitudes legítimas lleguen a sus destinos previstos. Esto mantiene alejado el tráfico de ataque.

Recientemente, el equipo de servicios en la nube de mi empresa mitigó con éxito una gran campaña de bombardeos dirigidos a varias empresas y proveedores de servicios simultáneamente. Fue una campaña de ataque global que se centró en el reflejo TCP de grandes subredes y CIDR como principal vector de ataque.

El método de ataque utilizó una gran subred/CIDR para reflejar una avalancha de paquetes SYN-ACK en las víctimas objetivo con una escala de inundaciones de más de 300 Gbps. Los ataques fueron bloqueados inmediatamente con varias técnicas de mitigación. Las organizaciones no protegidas experimentaron ralentizaciones o tiempos de inactividad.

La amenaza de bombardeos masivos DDoS continúa creciendo en parte porque los ataques se mantienen por debajo de los umbrales de mitigación. Estos ataques altamente distribuidos contra grandes porciones de la red de la víctima, como subredes/CIDR, son devastadores si no se detectan y mitigan.

Las organizaciones, desde pequeñas hasta grandes, deben tomar las medidas necesarias para protegerse. Al implementar un mecanismo de detección innovador y un enfoque de protección de múltiples niveles, así como utilizar una plataforma de mitigación sólida, las organizaciones estarán preparadas para la próxima campaña de bombardeos masivos.