El día 27 de junio de 2022, Imperva, una empresa de ciberseguridad de Internet, mitigó más de 25 300 millones de solicitudes como parte de un ataque DDoS. Su solución ha establecido un nuevo récord en el campo de la mitigación de DDoS.
Una empresa de telecomunicaciones china que no ha sido nombrada fue el objetivo del ataque. Este furioso ataque alcanzó un nivel máximo de 3,9 millones de RPS y duró cuatro horas seguidas.
Para enviar múltiples solicitudes a través de conexiones individuales simultáneamente, los atacantes utilizaron la multiplexación HTTP/2, que es la capacidad de combinar varios paquetes en un solo paquete.
Ataque masivo
No faltan los ataques que Cloudflare mitigó en junio, y este ataque estableció un récord de 26 millones de RPS. Sin embargo, el ataque de Imperva duró un período de tiempo inusualmente largo, lo que contrasta con el ataque récord de Cloudflare en junio.
La mitigación de Imperva tuvo lugar más de 4 horas después de un ataque que alcanzó un máximo de más de un millón de RPS. Por lo general, los ataques que alcanzan un máximo de más de un millón de RPS duran varios segundos o minutos.
Durante el ataque, la tasa de RPS comenzó en 3,1 millones y se mantuvo en alrededor de 3 millones hasta que terminó el ataque. Después de alcanzar un máximo de 3,9 millones de RPS, el ataque se desaceleró durante varios minutos antes de volver a su máxima potencia durante una hora más, momento en el que alcanzó un máximo de 3,9 millones de RPS.
Un ataque DDoS normalmente no dura más de una hora en aproximadamente uno de cada diez casos.
Red de bots
Una botnet masiva controlaba el ataque DDoS y se extendió por 180 países, con la mayoría de las direcciones IP originadas en los siguientes países:
- Los Estados Unidos
- Brasil
- Indonesia
La botnet consta de más de 170 000 direcciones IP distribuidas por todo el mundo, incluidas las siguientes:
- Enrutadores
- Cámaras de seguridad
- Servidores comprometidos
- IoT vulnerable
Los proveedores de servicios de seguridad en la nube y las nubes públicas son algunos de los lugares desde donde se origina el tráfico malicioso y alojan algunos de los servidores maliciosos.
Sin embargo, no se proporcionó ningún nombre o identificación para la botnet, pero por lo que se ha observado, no parece ser «Mantis». Mantis se basa principalmente en potentes servidores y máquinas virtuales para ejecutar sus operaciones, en lugar de una gran cantidad de dispositivos.
