El informe más reciente de Gcore Radar y sus secuelas han puesto de manifiesto un aumento drástico de los ataques DDoS en múltiples sectores. A principios de 2023, la fuerza media de los ataques alcanzaba los 800 Gbps, pero ahora, incluso un pico de hasta 1,5+ Tbps no es sorprendente. Para tratar de romper las defensas de Gcore, los perpetradores hicieron dos intentos con dos estrategias diferentes. El proveedor de seguridad detuvo a los atacantes en seco sin afectar la experiencia de los usuarios finales.
Un potente ataque DDoS
En noviembre de 2023, uno de los clientes de Gcore de la industria del juego fue objeto de dos ataques DDoS masivos, con un máximo de 1,1 y 1,6 Tbps respectivamente. Los atacantes desplegaron varias técnicas en un intento infructuoso de comprometer los mecanismos de protección de Gcore.
Ataque #1: DDoS basado en UDP de 1,1 Tbps
En el primer ataque cibernético, los atacantes enviaron un aluvión de tráfico UDP a un servidor objetivo, con un máximo de 1,1 Tbps. Se emplearon dos métodos:
- Mediante el uso de puertos de origen UDP aleatorios, esperaban evadir los mecanismos de filtrado convencionales.
- Los atacantes ocultaron su identidad genuina falsificando las direcciones IP de origen.
Se trataba de un ataque clásico de inundación (o volumétrico), en el que los atacantes esperaban consumir todo el ancho de banda disponible de un centro de datos o red, abrumando los servidores objetivo con tráfico y haciéndolos no disponibles para los usuarios legítimos.
El siguiente gráfico muestra el tráfico del cliente durante el ataque. El pico de 1,1 Tbps muestra un intento agresivo pero de corta duración de inundar la red con datos. La línea verde («total.general.input») muestra todo el tráfico entrante. Las otras líneas de colores en el gráfico representan las respuestas de la red, incluidas las medidas para filtrar y descartar el tráfico malicioso, a medida que el sistema administra la avalancha de datos.
Ataque #2: DDoS basado en TCP de 1,6 Tbps
Esta vez, los atacantes intentaron explotar el protocolo TCP con una combinación de tráfico SYN flood, PSH y ACK.
En un ataque de inundación SYN, varios paquetes SYN se entregan al servidor de destino sin paquetes ACK. Esto significa que el servidor genera una conexión semiabierta para cada paquete SYN. Si tiene éxito, el servidor finalmente se quedará sin recursos y dejará de aceptar conexiones.
La fase PSH, ACK del ataque envía rápidamente datos al sistema objetivo. El indicador ACK indica que el servidor recibió el paquete anterior. Esto empuja al sistema a manejar los datos con prontitud, desperdiciando recursos. Un ataque de inundación SYN que utiliza paquetes PSH, ACK es más difícil de defender que una inundación SYN, ya que el indicador PSH hace que el servidor procese el contenido del paquete inmediatamente, consumiendo más recursos.
Al igual que antes, el objetivo era sobrecargar los servidores del cliente y hacer que sus servicios fueran inaccesibles para los usuarios autorizados. Esta inundación SYN tuvo un volumen máximo de 685,77 Mbps y el PSH, ACK tuvo una magnitud de 906,73 Mbps.
Estrategias defensivas de Gcore
La protección DDoS de Gcore neutralizó eficazmente ambos ataques al tiempo que preservó el servicio regular para los usuarios finales del cliente. El enfoque general para defenderse de las amenazas de seguridad DDoS incluye varias técnicas, como las defensas de primera línea de Gcore:
- Conformado dinámico del tráfico: Las tasas de tráfico ajustadas dinámicamente mitigan eficazmente el impacto del ataque al tiempo que garantizan la continuidad de los servicios críticos. Con el fin de priorizar el tráfico genuino y ralentizar las transmisiones dañinas, se utilizan umbrales adaptativos y restricciones de velocidad.
- Detección de anomalías y cuarentena: Los modelos basados en el aprendizaje automático analizan el comportamiento para identificar anomalías. Cuando se produce una anomalía, los mecanismos de cuarentena automatizados redirigen el tráfico erróneo a segmentos aislados para un análisis adicional.
- Filtros de expresiones regulares: Para bloquear cargas malintencionadas sin interrumpir el tráfico legítimo, se implementan reglas de filtro basadas en expresiones regulares. Su ajuste fino continuo garantiza una protección óptima sin falsos positivos.
- Inteligencia colaborativa de amenazas: Gcore participa activamente en el intercambio de inteligencia de amenazas con sus pares de la industria. Los conocimientos colectivos y las fuentes de amenazas en tiempo real guían las técnicas de seguridad de Gcore, lo que permite una respuesta rápida a los vectores de ataque en desarrollo.
Al emplear estas estrategias, Gcore pudo mitigar eficazmente el impacto de los ataques DDoS y proteger la plataforma de sus clientes de las interrupciones, anulando posibles pérdidas financieras y de reputación.
Fuente y redacción: underc0de.org
