El informe más reciente de Gcore Radar, han destacado un aumento dramático en los ataques DDoS en múltiples industrias. A principios de 2023, la fuerza promedio de los ataques alcanzó los 800 Gbps , pero ahora, incluso un pico de más de 1,5 Tbps no es sorprendente. Para intentar romper las defensas de Gcore, los perpetradores hicieron dos intentos con dos estrategias diferentes. Continúe leyendo para descubrir qué sucedió y cómo el proveedor de seguridad detuvo a los atacantes en seco sin afectar las experiencias de los usuarios finales.
Un poderoso ataque DDoS
En noviembre de 2023, uno de los clientes de Gcore de la industria del juego fue blanco de dos ataques DDoS masivos, con un máximo de 1,1 y 1,6 Tbps respectivamente. Los atacantes desplegaron varias técnicas en un intento fallido de comprometer los mecanismos de protección de Gcore.
Ataque nº1: DDoS basado en UDP de 1,1 Tbps
En el primer ciberataque, los atacantes enviaron una andanada de tráfico UDP a un servidor objetivo, alcanzando un máximo de 1,1 Tbps. Se emplearon dos métodos:
- Al utilizar puertos de origen UDP aleatorios , esperaban evadir los mecanismos de filtrado convencionales.
- Los atacantes ocultaron su verdadera identidad falsificando direcciones IP de origen .
Se trataba de un clásico ataque de inundación (o volumétrico), mediante el cual los atacantes esperaban consumir todo el ancho de banda disponible de o hacia un centro de datos o red, abrumando los servidores de destino con tráfico y haciéndolos no disponibles para los usuarios legítimos.
El siguiente gráfico muestra el tráfico de clientes durante el ataque. El pico de 1,1 Tbps muestra un intento agresivo pero de corta duración de inundar la red con datos. La línea verde («total.general.input») muestra todo el tráfico entrante. Las otras líneas de colores en el gráfico representan las respuestas de la red, incluidas medidas para filtrar y eliminar el tráfico malicioso, mientras el sistema gestiona la avalancha de datos.
El ataque comprendió un pico breve pero intenso de 1,1 Tbps alrededor de las 22:55
Ataque n.º 2: DDoS basado en TCP de 1,6 Tbps#
El volumen de tráfico constante del ataque fue de 700 Mbps y al inicio alcanzó un máximo de 1600 Mbps.
Esta vez, los atacantes intentaron explotar el protocolo TCP con una combinación de tráfico SYN Flood , PSH y ACK.
En un ataque de inundación SYN, se entregan varios paquetes SYN al servidor de destino sin paquetes ACK. Esto significa que el servidor genera una conexión medio abierta para cada paquete SYN. Si tiene éxito, el servidor finalmente se quedará sin recursos y dejará de aceptar conexiones.
La fase PSH y ACK del ataque envía rápidamente datos al sistema objetivo. El indicador ACK indica que el servidor recibió el paquete anterior. Esto empuja al sistema a manejar los datos rápidamente, desperdiciando recursos. Es más difícil defenderse de un ataque de inundación SYN que utiliza paquetes PSH y ACK que de una inundación SYN, ya que el indicador PSH hace que el servidor procese el contenido del paquete inmediatamente, consumiendo más recursos.
Como antes, el objetivo era sobrecargar los servidores del cliente y hacer que sus servicios fueran inaccesibles para los usuarios autorizados. Esta inundación SYN tuvo un volumen máximo de 685,77 Mbps y el PSH, ACK tuvo una magnitud de 906,73 Mbps.
Las estrategias defensivas de Gcore
La protección DDoS de Gcore neutralizó eficazmente ambos ataques y al mismo tiempo preservó el servicio regular para los usuarios finales del cliente. El enfoque general para defenderse de las amenazas de seguridad DDoS incluye varias técnicas, como las defensas de primera línea de Gcore:
- Conformación dinámica del tráfico: las tasas de tráfico ajustadas dinámicamente mitigan eficazmente el impacto del ataque al tiempo que garantizan la continuidad de los servicios críticos. Para priorizar el tráfico genuino y al mismo tiempo ralentizar las transmisiones dañinas, se utilizan umbrales adaptativos y restricciones de velocidad.
- Detección de anomalías y cuarentena: modelos basados en aprendizaje automático analizan el comportamiento para identificar anomalías. Cuando ocurre una anomalía, los mecanismos de cuarentena automatizados redirigen el tráfico erróneo a segmentos aislados para realizar análisis adicionales.
- Filtros de expresiones regulares: para bloquear cargas útiles maliciosas sin interrumpir el tráfico legítimo, se implementan reglas de filtrado basadas en expresiones regulares. Su ajuste continuo garantiza una protección óptima sin falsos positivos.
- Inteligencia colaborativa sobre amenazas: Gcore participa activamente en el intercambio de inteligencia sobre amenazas con pares de la industria. Los conocimientos colectivos y las fuentes de amenazas en tiempo real guían las técnicas de seguridad de Gcore, lo que permite una respuesta rápida a los vectores de ataque en desarrollo.
Al emplear estas estrategias, Gcore pudo mitigar eficazmente el impacto de los ataques DDoS y proteger la plataforma de sus clientes contra interrupciones, eliminando posibles pérdidas financieras y de reputación.
Conclusión
Los ataques DDoS de un volumen de más de 1,5 Tbps representan un peligro cada vez mayor en todas las industrias, y los atacantes utilizan técnicas imaginativas para intentar eludir los servicios de protección. A lo largo de 2023, Gcore ha registrado aumentos en los volúmenes de ataque promedio y máximo , y estos dos ataques conectados demuestran esa tendencia.
En los ataques tratados en el artículo, Gcore pudo prevenir cualquier daño mediante una combinación de configuración dinámica del tráfico, detección de anomalías, filtros de expresiones regulares e inteligencia colaborativa contra amenazas. Explore las opciones de protección DDoS para proteger su red contra amenazas DDoS en constante evolución.
Fuente y redacción: thehackernews.com