Uncategorized
Corero analiza ataque DDoS perpetrado contra SpamHaus
Con motivo del reciente ataque DDoS perpetrado contra SpamHaus, Corero Network Security, fabricante de Sistemas de Defensa frente a ataques Distribuidos de Denegación de Servicio (DDoS) en capa de red y de aplicación, ofrece una valoración del mismo, así como una serie de consejos para luchar contra los ataques DDoS.
El ataque, considerado por algunos como uno de los mayores de la historia en Internet, comenzó después de conocerse que SpamHaus, una organización sin ánimo de lucro dedicada a combatir el spam en Internet, había incluido en sus listas a un proveedor de alojamiento de Internet holandés llamado CyberBunker, conocido por no discriminar a los clientes y temas que aloja, a excepción de pornografía infantil o material terrorista.
Poco después de hacerse pública la noticia, los servidores DNS de Spamhaus recibieron un potente ataque de Denegación de Servicio (DDoS) el cual, consiguió tumbar sus servicios, al tiempo que logró que Internet perdiera velocidad en distintas partes del mundo.
La técnica, conocida como amplificación DNS, y similar al ataque llamado smurf, aprovecha la potencia de un puñado de ordenadores robots para generar una cantidad enorme de tráfico, utilizando la amplificación de servidores DNS abiertos e inundando el sistema atacado.
Así, los atacantes utilizaron una red de bots, con unos 1.000 ordenadores infectados controlados remotamente por los atacantes. Cada uno de ellos, simulando ser Spamhaus (Spoofing), envió peticiones de información a servidores en Internet llamados open resolvers o DNS abiertos a recibir peticiones recursivas, es decir, peticiones provenientes de IP’s desconocidas en Internet. En este caso, se utilizaron aproximadamente 100.000 DNS abiertos para amplificar el ataque.
Los resolvers crearon respuestas más largas (dirigidas a Spamhaus), consiguiendo el efecto de amplificación y multiplicación, por lo que Spamhaus se vio inundado de respuestas DNS y no pudo atender a las peticiones de clientes legítimos. Tras unos días de interrupción de servicio, Spamhaus reaccionó contratando los servicios de una compañía de protección en la nube.
Esto permitió a Spamhaus salvarse temporalmente, gracias a la posibilidad de absorber más tráfico, pero entonces, los atacantes se focalizaron en atacar a los nodos de comunicaciones utilizados por la compañía de protección en Europa y en Asia, afectando a los clientes de esta compañía, pero también al resto de usuarios que transitaban por estos nodos. El ataque paro el día 26 y volvió a empezar el día 28 de marzo, causando una congestión aislada en Europa.
Marty Meyer, presidente de Corero Network Security, explica: ‘El ataque contra Spamhaus, y sus proveedores de conectividad y seguridad de Internet, es un ejemplo más de cómo los ataques DDoS se han convertido en el arma de facto elegida por ciber-activistas, cibercriminales o competidores desleales, entre otros’.
Pasada la tempestad, y aunque todavía se desconoce el origen del ataque -los cuerpos de policía de cinco países continúan investigando los hechos-, lo que sí es cierto es que este ataque ha puesto de manifiesto una vez más la necesidad de extremar las medidas de seguridad de los sitios Web, ya que los ataques DDoS y el tráfico no deseado se hallan en aumento constante, erigiéndose como uno de los mayores problemas de seguridad actuales.
Concluye, ‘Desafortunadamente, la infraestructura compartida que es Internet puede ser vulnerable a este tipo de ataque en el sistema de DNS, dado que las empresas se focalizan en proteger las aplicaciones web pero se olvidan del DNS que puede utilizarse para afectarles a ellos o utilizarlo contra terceros’.