Las técnicas de reflexión, las elegidas para lograr mayores ataques DDoS

El Informe sobre Ataques DDoS Globales para el Primer Trimestre de 2014 de Prolexic Technologies, ahora parte Akamai, ha observado que los protocolos más atacados están todos basado en el protocolo User Datagram Protocol (UDP), y son el Character Generator (CHARGEN), Network Time Protocol (NTP) y Domain Name System (DNS). Estos podrían ser los favoritos porque permiten a los atacantes esconder su identidad. Además, los ataques basados en amplificación pueden entregar una inundación masiva de datos en la meta aunque solo requieran una pequeña salida de la fuente.

Los datos del informe, que lleva haciendo análisis y perspectivas del panorama de las amenazas DDoS globales desde el año 2011, revelan que en el primer trimestre de estes año se incrementó en un 39 por ciento el ancho de banda medio y cruzó la red de migración DDoS de Prolexic el mayor ataque DDoS hasta la fecha. Este ataque empleó múltiples técnicas de reflexión combinadas con un ataque tradicional de aplicación basado en botnet para generar un tráfico pico de más de 200 Gbps (gigabits por segundo) y 53.5 Mpps (millones de paquetes por segundo).

“En el primer trimestre, los atacante DDoS recurrieron menos a la infección por botnet tradicional prefiriendo las técnicas de reflexión y amplificación, una tendencia que Prolexic lleva observando desde hace algún tiempo,” ha dicho Stuart Scholly, Vicepresidente Senior y Director General de Seguridad de Akamai Technologies. “En vez de utilizar una red de ordenadores zombie, los kits de herramientas DDoS más recientes atacan protocolos de Internet disponibles en servidores y dispositivos abiertos o vulnerables. Creemos que este enfoque puede llevar a que Internet se convierta en un botnet listo para usar para los actores maliciosos.”

Las nuevas herramientas de reflexión y amplificación pueden dar un potente golpe. Durante este trimestre, más de la mitad del tráfico de ataques DDoS se dirigió al sector de Medios y Entretenimiento. Este sector fue atacado por el 54 por ciento de los paquetes maliciosos mitigados por Prolexic durante los ataques DDoS activos en el primer trimestre.

Además, si se comparan las cifras con el primer trimestre de 2013, hay un incremento del 47 por ciento de los ataques DDoS totales y del 68 por ciento de los ataques a infraestructura (Capa 3 & 4). Mientras que se reducen un  21 por ciento los ataques a aplicaciones (Capa 7) y un 50 por ciento la duración de los ataques (35 vs. 17 horas).

La innovación en el mercado DDoS ha hecho surgir herramientas que pueden crear un mayor daño con menos recursos. Los ataques basados en infraestructura de alto volumen del primer trimestre fueron posibles gracias a la disponibilidad de herramientas DDoS de fácil uso procedentes del mercado DDoS como un servicio (DDoS-as-a-service). Estas herramientas están diseñadas por hackers maliciosos para que proporcionen mayor potencia y comodidad a los atacantes con menos experiencia.

Por ejemplo, en el primer trimestre, surgieron los ataques de reflexión NTP, posiblemente gracias a la disponibilidad de herramientas de ataques DDoS de fácil uso que soportan esta técnica de reflexión. El método de inundación NTP representó menos del 1 por ciento de todos los ataques en el trimestre anterior, alcanzando casi la misma popularidad que los ataques de inundación SYN, un eterno favorito entre los atacantes DDoS.

Akamai anunció la adquisición de Prolexic en diciembre de 2013. El Informe sobre Ataques DDoS Globales de Prolexic’ y el Informe sobre el Estado de Internet de Akamai cubren los ataques DDoS y tendencias y estadísticas relacionadas. En los próximos trimestres van a trabajar para publicar un informe combinado.