¿Apocalipsis en internet ahora? los expertos dicen que no

El ataque DDoS amplificado del proveedor de alojamiento web CyberBunker contra el equipo antispam SpamHaus Project es una gran noticia. El New York Times influyó, al igual que la BBC. La agencia de protección de Internet CloudFlare informó que el ataque escaló a los proveedores de ancho de banda de Nivel 1, y que un ataque DDoS de 300 Gbps ralentizó las conexiones para muchos usuarios de Internet. Pero espera un minuto. ¿Experimentó una desaceleración? Yo tampoco. De hecho, bastantes expertos ahora informan que incluso este mayor ataque DDoS nunca afectó de manera apreciable a Internet en general.

Sólo un blip?

Keynote Systems monitorea constantemente el tiempo de respuesta de 40 "importantes sitios web de negocios con sede en los Estados Unidos", conectándose con ellos desde varias ubicaciones clave en todo el mundo. El tiempo de respuesta promedio varía, pero tiende a permanecer aproximadamente en el mismo rango. Y el índice de rendimiento de Keynote muestra solo un leve "bache" durante el ataque.

El experto principal Aaron Rudger dijo: "Los números no mienten, y eso es un hecho". Al hacer referencia a un gráfico de rendimiento en las últimas cuatro semanas, señaló que "los agentes europeos informan un rendimiento bastante consistente y normal durante… el evento DDoS. Sin embargo, hay un pequeño problema".

"Sí vemos", dijo Rudger, "que los agentes europeos experimentaron tiempos de respuesta más lentos, hasta un 40% más lentos que el promedio, entre las 8:30 a.m. y las 2:30 p.m. (PST) del 26 de marzo. Es posible que el ataque de Spamhaus podría estar relacionado con esta desaceleración, pero no podemos estar seguros ". Rudger señaló que miles de personas que transmitieron el gran partido de fútbol que ocurrió al mismo tiempo podrían explicar la desaceleración ". Rechaza la afirmación de que el ataque causó días de interrupción, diciendo:" Simplemente no vemos de nuestros datos ".

¿Solo bombo?

En una extensa publicación de blog, Sam Biddle de Gizmodo va un paso más allá, acusando a CloudFlare de exagerar el problema para su propio beneficio. CloudFlare, dice Biddle, es "responsable del informe meteorológico de Internet, la parte que se beneficiará directamente de que te preocupe que Internet como la conocemos esté asediada".

El artículo de Biddle muestra gráficos de fuentes independientes (similares a Keynote) que no muestran picos en el tráfico ni caídas en el tiempo de respuesta. Un informe de Amazon sobre el alojamiento de Netflix mostró cero interrupciones durante la semana. Un portavoz de NTT, "uno de los operadores principales de Internet", afirmó que si bien un ataque de 300 Gbps es masivo, la mayoría de las regiones tienen capacidades en el rango de Tbps, y concluye "Estoy del lado de ustedes cuestionando si sacudió a Internet global".

Biddle concluye que CloudFlare estaba "tratando de asustar a los residentes de Internet pensando que son los residentes de Dresde para impulsar los negocios". "Si su producto vale la pena", dijo Biddle, "no debería tener que mentirle a Internet para venderlo". Palabras fuertes de hecho.

Arrojando luz sobre el problema

Adam Wosotowsky, Arquitecto de datos de mensajería en McAfee Labs, tiene ganas de reducir un poco la holgura de CloudFlare. Incluso si exageraron la situación, "no hay daño en eso". Señala que llamar la atención sobre el problema puede ayudar a "sitios menos preparados que no están listos para este tipo de situación simplemente porque no están hurgando en los nidos de avispas todo el día". Hacer correr la voz significa que esas compañías "podrían beneficiarse al saber que su problema no es único y que en realidad hay compañías que se especializan en ayudarlos a evitar los ataques".

En cuanto a la desaceleración reportada, Wosotowsky confirmó que McAfee encontró algunos sitios web "significativamente afectados". Señaló que, debido al tamaño del ataque, bien podría afectar "los servicios tangenciales que están en algún punto de su camino utilizando el mismo ancho de banda".

"El hecho de que un fenómeno colosal no esté justificado", dijo Wosotowsky, "no reduce la importancia del análisis… Desde la perspectiva de erradicar refugios seguros para autores de malware y botmasters, la historia es realmente digna."

Dinero y poder

El Equipo Global de Investigación y Análisis de Kaspersky Lab no expresó ninguna duda sobre la gravedad del ataque, y señaló que "el flujo de datos generado por dicho ataque puede afectar a los nodos de la red intermedia cuando los pasa, lo que impide las operaciones de los servicios web normales que no tienen relación con Spamhaus o Cyberbunker ". Continuaron observando que "los ataques DDoS de este tipo están creciendo en términos de cantidad y escala".

¿Por qué este aumento? El equipo observó dos motivaciones principales (y a veces superpuestas). "Los ciberdelincuentes realizan ataques DDoS para desestabilizar a las corporaciones en un esfuerzo por extorsionarles", dijo el equipo. También pueden "atacar DDoS como un arma para interrumpir organizaciones o empresas en la búsqueda de sus propios intereses ideológicos, políticos o personales". De cualquier manera, los ataques DDoS masivos como este pueden interrumpir el servicio por algo más que el objetivo del ataque.

¡Presta atención!

El ataque de CyberBunker utilizó la reflexión de DNS, una técnica que les permite enviar un pequeño paquete de datos que a su vez hace que un servidor DNS arroje un paquete mucho más grande al objetivo. En efecto, amplifica el ataque cien veces. Sí, hay otras formas de implementar un ataque DDoS, pero este es el BFG9000 del grupo. Hacer imposible la reflexión DNS sería algo bueno .

El proyecto Open DNS Resolver enumera más de 25 millones de servidores que, según sus pruebas, "representan una amenaza importante". TI chicos, ¡presten atención! ¿Están los servidores DNS de su empresa en esa lista? Investigue un poco y protéjalos contra ataques como la suplantación de direcciones IP. Todos te lo agradeceremos.