Por qué el ataque DDoS más grande de la historia sufrido por GitHub puede repetirse

Ataque Ddos Mas Grande Historia Gitbuh Por Que

Se sabía que podría suceder y pasó, sin embargo era previsible. Por eso GitHub sobrevivió al combate DDoS mas enorme de la historia. Un combate de denegación de servicio distribuido que alcanzó un pico de 1,35 terabits por segundo destinados a través de 126,9 millones de paquetes por segundo. Pese a ello, solo cayó 10 minutos.

La buena novedad es que resolver una circuntancia parecido es posible, como demostró la plataforma; la mala es que estos ataques pueden repetirse a mayor escala si no se hace nada. La responsabilidad, en parte, es de muchos.

El enorme combate sufrido por GitHub solo podría ser el principio; el peligro continúa

Grandes ataques DDoS preliminares como el sufrido por la compañia Dyn en 2016, el mayor registrado hasta entonces, que causó problemas en beneficios como Twitter, Reddit® y exactamente GitHub, entre otros, pueden quedar casi en anécdota en comparación con los que aprovechan el enorme poder de amplificación usado por el que conocimos ayer. Las cifras que se han proporcionado espantan.

El porqué del mayor combate DDoS

Technology 1587673 1280

El 27 de febrero, hace exclusivamente 3 días, los examinadores de protección de Cloudflare describieron un maltrato de los servidores(dedicados) Memcached para amplificar ataques DDoS por un factor sin precedentes de 51.200. Se intenta de máquinas con un metodo de caché distribuido que utilizan sitios como Reddit, YouTube, Twitter, Facebook® o Wikipedia.

El maltrato es factible debido a la implementación no segura del soporte para el protocolo UPD y la presentación a conexiones externas del puerto del hablado protocolo, el 11211, en la configuración por defecto. Como en otros métodos de amplificación, los agresores envían una pequeña petición desde una dirección IP(direciones) falsa para sacar a cambio una respuesta mucho mayor.

Emplear este procedimiento puede amplificar los ataques DDoS por un factor de 51.200

En este caso, envían una petición al puerto 11211 usando una IP(direciones) falsa que coincide con la IP(direciones) de la víctima. Con exclusivamente unos pocos bytes(8bits) remitidos al servidor vulnerable, segun los investigadores, reciben una respuesta decenas de veces mas grande. “Lanzar tal combate es fácil”, aseguran.

El conjunto de estos servidores(dedicados) no es vulnerable, sin embargo varios sí lo son. Aunque en Cloudflare solo vieron 5.729 direcciones IP(direciones) únicas de máquinas Memcached cuando publicaron estos informes, aseguraban que Shodan informaba de 88.000 servidores(dedicados) abiertos. Otras fuentes elevan la suma hasta los 100.000. Están distribuidos por todo el mundo, sin embargo donde tienen una mayor concentración es en América del Norte y en Europa. Además, segun Cloudfare, “la totalidad de los servidores(dedicados) indefensos se localizan en los primordiales distribuidores de alojamiento”.

La enorme defensa de GitHub (y Akamai)

Captura Web Github

Una dia después de este anuncio, además hecho por otras firmas de protección como Arbor Networks, Qihoo 360 o Akamai, se produjo el combate contra GitHub. Lo sorprendente es que a pesar de la magnitud, pocos se dieron cuenta de lo que estaba sucediendo. GitHub.com no estuvo habilitada entre las 17:21 a 17:26 UTC y se registraron problemas intermitentes entre las 17:26 a 17:30 UTC. Ya está.

Después, todo volvió a la normalidad. Lo consiguieron gracias a la ayuda de su servicio de mitigación de ataques DDoS, exactamente la compañia Akamai, una de las que averiguo sobre este tipo de abusos. Conocían perfectamente el problema.

El combate se detuvo filtrando todo el trafico originario del puerto UDP 11211

“Dada la ampliación del ancho de banda de tránsito entrante a mas de 100 Gbps en una de nuestras instalaciones, se tomó la decisión de desplazar el tráfico a Akamai, que podría apoyar a entregar una capacidad de red de borde adicional”, explican desde GitHub.

Fue entonces cuando los ingenieros de Akamai tomaron el control, explican, “filtrando todo el trafico originario del puerto UDP 11211, el puerto predeterminado aprovechado por Memcached”. Tras 8 minutos, los agresores cedieron y el combate cesó. “Modelamos nuestra capacidad inspirada en 5 veces el combate mas enorme que internet(www) haya visto jamás”, dijo a Wired el vicepresidente de Seguridad Web de Akamai, Josh Shaul. Estaban listos y ganaron.

¿Por qué puede repetirse el combate DDoS mas enorme de la historia? ¿Se puede solucionar?

Work 933061 1280

Como decíamos al inicio, la buena novedad es que es factible parar estos enormes ataques. Si se esta suficientemente preparado, claro. La mala es que pueden repetirse siendo todavía mas grandes. Y no lo decimos nosotros, lo cuentan los encargados de mitigar lo sufrido por GitHub. “Es muy posible que este combate récord no sea el mas enorme en mucho tiempo”, aseguraban ayer tras exhibir los fragmentos de su actuación sobre el enorme combate DDoS.

Memcached puede tener oyentes UDP y TCP y no solicita autenticación. Como el UDP es sencillamente falsificable, hace que este servicio sea indefenso a ser aprovechado como reflector. Peor aún, Memcached puede tener un factor de amplificación de mas de 50.000, lo que significa que una petición de 203 bytes(8bits) resulta en una respuesta de 100 megabytes.

Además, segun explican, varias otras instituciones provienen experimentado ataques similares desde el pasado lunes. Esto les hace pronosticar ataques potencialmente mayores en un futuro cercano.

Debido a su capacidad para inventar ataques tan masivos, es posible que los agresores adopten inmediatamente la amplificación de Memcached como tool favorita. Además, como las listas de reflectores utilizables son compiladas por los atacantes, el choque de este procedimiento de combate tiene el potencial de crecer significativamente.

Que no sea así pasa por tomar precauciones a diferentes niveles. La mas inmediata, explican, es que “los distribuidores pueden clasificar el trafico del puerto de principio 11211 y eludir que el trafico entre y salga de sus redes”. Aunque tomar estas medidas cuentan que llevará tiempo. Otra buena precaución a tomar puede ser deshabilitar el soporte UDP si no se usa, como sugieren desde Cloudflare. Esconder los servidores(dedicados) tras un cortafuegos además sería una buena y obvia idea.

Las respuestas al maltrato de los servidores(dedicados) Memcached pasan además por contestar desde ellos con un tamaño de pack mas diminuto que la petición como medida preventiva si no se puede dejar de utilizar UDP, arreglar los protocolos indefensos y la oportunidad de suplantar las IP. Soluciones, como vemos, las hay. Falta que se implementen.

En Xataka | Qué es un combate DDoS y como puede afectarte

También te recomendamos

GitHub acaba de perdurar el combate DDoS mas enorme de la historia

Cómo organizar preferible los beneficios en la Nube que tenemos a punto de reventar

Un nuevo combate DDoS casi deja sin Internet todo un país, y es algo que razones preocuparnos a todos


La novedad Por qué el combate DDoS mas enorme de la historia sufrido por GitHub puede repetirse fue publicada originalmente en Genbeta por Toni Castillo .


Genbeta



Agradecemos a la fuente original por la información que nos ayudo a crear este articulo.

También puedes revisar estas noticias relacionadas.

Tags: #¿qué #ataque #DDOS #GitHub #grande #historia #más #puede #repetirse #sufrido

Deja un comentario

Author: 
    author