Los ataques de Denegación Distribuida de Servicios no pasan de
moda. Si bien suelen no ser frecuentes
las publicaciones al respecto, éstos
siguen ocurriendo, cada vez con más frecuencia y potencia.
Un ataque DDoS busca saturar o colapsar un servicio específico,
impidiendo que usuarios legítimos puedan hacer uso de él.
Hay varios tipos, como los "aplicativos" que explotan
vulnerabilidades causantes de fallas de servicio, los de "saturación de protocolos", como
SYNFlood y los más reconocidos "volumétricos", que buscan
congestionar enlaces de comunicaciones y dispositivos intermedios de red y
seguridad.
De manera individual ya son
una problemática seria, pero lo son más cuando son lanzados en conjunto como una
cortina de humo para esconder otros ataques que buscan de manera específica la
explotación de vulnerabilidades que permitan el acceso no autorizado a
información relevante.
Respecto de los volumétricos, ya es común ver varios ataques
mensuales de más de 50Gbps y algunos en el extranjero alcanzan peaks de hasta
400Gbps, un caudal no despreciable.
El hecho de que sean distribuidos implica que su dirección IP de
origen no es única, haciendo difícil su seguimiento y bloqueo. Para ello, los atacantes se valen de variadas
técnicas: Redes de bots, que se pueden con cierto esfuerzo implementar o de lo
contrario arrendar, e incluyen miles de estaciones ingenuamente cautivas. Otras técnicas son la utilización de
protocolos que permiten amplificación de tráfico, consistente en emitir
pequeñas consultas y recibir grandes volúmenes de tráfico. Aquí se cuentan protocolos como NTP, SNMP,
CharGen, SSDP y DNS. Este último, permite
un factor de amplificación de hasta 54
veces la consulta original.
Para implementar un ataque DDoS de DNS se requieren 2 cosas:
1) Un "resolver" abierto. Puede ver si sus resolvers están listados
en este sitio: http://openresolverproject.org.
No será el único, hay más de 30 millones de servidores en el mundo en
esta condición.
2) Redes públicas que permitan spoofing,
con lo cual es posible utilizar la técnica de Reflection. Valide si su red
no está aplicando el estándar BCP38, especialmente si es un ISP. Más datos en http://spoofer.caida.org
Si bien no hay una estrategia maestra para enfrentarlos, hay algunas
consideraciones que han mostrado buenos resultados en el tiempo:
a) No sea parte del problema y cierre servidores abiertos como DNS y
NTP (http://openntpproject.org). Procure
no contribuir con redes spoofeables.
b) Conozca sus redes, sus consumos típicos y sus vulnerabilidades,
corríjalas.
c) Conozca a su proveedor de Internet y establezca un contacto
cercano.
d) Si sufre un ataque, tómese un espacio de tiempo para capturar
datos que pueda analizar posteriormente.
e) Mitigue el ataque, bloquee lo que pueda con las herramientas de
que disponga, incluso, ACL's en routers.
Si su ISP puede hacer lo mismo 'aguas arriba' cuanto mejor.
f) Analice la evidencia, aprenda de ella e implemente mejoras.
Si para su negocio es importante el uptime de sus sitios, considere migrar servicios a Nubes
distribuidas (CDNs) y de gran calibre,
agregue también contención perimetral de DDoS para todas las variantes. En esto, Arkavia puede ayudarle, escríbanos a info@arkavia.com
