Video: Реклама подобрана на основе следующей информации: (Noviembre 2024)
Cualquiera que sea el efecto en Internet en general, nadie niega que este ataque, con un pico de 300 Gbps, fue el mayor ataque DDoS jamás registrado. Pero, ¿qué es un ataque DDoS y qué defensas están disponibles?
Cómo funcionó el ataque
Un ataque de denegación de servicio simplemente sobrecarga los servidores de la víctima al inundarlos con datos, más datos de los que los servidores pueden manejar. Esto puede interrumpir el negocio de la víctima o dejar su sitio web fuera de línea. Lanzar tal ataque desde una única ubicación web es ineficaz, ya que la víctima puede bloquear rápidamente ese tráfico. Los atacantes suelen lanzar un ataque de denegación de servicio distribuido a través de miles de computadoras desafortunadas controladas por una botnet.
David Gibson, vicepresidente de estrategia de la empresa global de protección de datos Varonis, explicó el proceso en términos simples. "Imagine que un atacante puede falsificar su número de teléfono para que su número aparezca en los teléfonos de otras personas cuando el atacante llama", dijo. "Ahora imagina que el atacante llama a un grupo de personas y cuelga antes de que respondan. Probablemente recibirás un montón de llamadas de esas personas… Ahora imagina a miles de atacantes haciendo esto, sin duda tendrías que cambiar tu teléfono número. Con suficientes llamadas, todo el sistema telefónico se vería afectado ".
Se necesita tiempo y esfuerzo para configurar una botnet, o dinero para alquilar una. En lugar de meterse en ese problema, el ataque de CyberBunker aprovechó el sistema DNS, un componente absolutamente esencial de Internet de hoy.
CyberBunker localizó decenas de miles de servidores DNS que eran vulnerables a la suplantación de direcciones IP, es decir, enviando una solicitud web y falsificando la dirección de retorno. Una pequeña consulta del atacante resultó en una respuesta cientos de veces mayor, y todas esas grandes respuestas llegaron a los servidores de la víctima. Extendiendo el ejemplo de Gibson, es como si cada una de las llamadas telefónicas del atacante entregara su número a teleoperadores rabiosos.
¿Qué se puede hacer?
¿No sería bueno que alguien inventara tecnología para frustrar tales ataques? En verdad, ya lo han hecho, hace trece años. En mayo de 2000, el Grupo de trabajo de ingeniería de Internet lanzó el documento Best Current Practices conocido como BCP38. BCP38 define el problema y describe "un método simple, efectivo y directo… para prohibir los ataques DoS que usan direcciones IP falsificadas".
"El 80 por ciento de los proveedores de Internet ya han implementado las recomendaciones en BCP38", señaló Gibson. "Es el 20 por ciento restante el responsable de permitir el tráfico falso". Al explicar el problema en términos simples, Gibson dijo: "Imagínense que si el 20 por ciento de los conductores en la carretera no obedecieran las señales de tránsito, ya no sería seguro conducir".
Bloquearlo
Los problemas de seguridad descritos aquí ocurren de manera nivelada, muy por encima de la computadora de su hogar o negocio. Usted no es quien puede o debe implementar una solución; Ese es un trabajo para el departamento de TI. Es importante destacar que los técnicos de TI deben gestionar correctamente la distinción entre dos tipos diferentes de servidores DNS. Corey Nachreiner, CISSP y Director de Estrategia de Seguridad de la compañía de seguridad de redes WatchGuard, explicó.
"Un servidor DNS autorizado es uno que le dice al resto del mundo sobre el dominio de su empresa u organización", dijo Nachreiner. "Su servidor autorizado debe estar disponible para cualquier persona en Internet, sin embargo, solo debe responder a consultas sobre el dominio de su empresa". Además del servidor DNS autorizado orientado hacia afuera, las empresas necesitan un servidor DNS recursivo hacia adentro. "Un servidor DNS recursivo está destinado a proporcionar búsquedas de dominio a todos sus empleados", explicó Nachreiner. "Debería poder responder a consultas sobre todos los sitios en Internet, pero solo debería responder a las personas de su organización".
El problema es que muchos servidores DNS recursivos no limitan correctamente las respuestas a la red interna. Para lograr un ataque de reflexión DNS, los malos solo necesitan encontrar un montón de esos servidores configurados incorrectamente. "Si bien las empresas necesitan servidores DNS recursivos para sus empleados", concluyó Nachreiner, "NO DEBEN abrir estos servidores a las solicitudes de nadie en Internet".
Rob Kraus, Director de Investigación del Equipo de Investigación de Ingeniería de Solutionary (SERT), señaló que "saber cómo se ve realmente su arquitectura DNS desde adentro y desde afuera puede ayudar a identificar las brechas en la implementación de DNS de su organización". Aconsejó asegurarse de que todos los servidores DNS estén completamente parcheados y protegidos según las especificaciones. Para asegurarse de haberlo hecho bien, Kraus sugiere que "el uso de ejercicios éticos de piratería ayuda a descubrir configuraciones erróneas".
Sí, hay otras formas de lanzar ataques DDoS, pero la reflexión de DNS es especialmente efectiva debido al efecto de amplificación, donde una pequeña cantidad de tráfico del atacante genera una gran cantidad que va hacia la víctima. Cerrar esta avenida en particular al menos obligará a los cibercriminales a inventar un nuevo tipo de ataque. Eso es progreso, de una especie.
