Ilustración de un ataque DDoS.

Ilustración de un ataque DDoS. Manuel Fernández Omicrono

Software

Se ha parado el ciberatataque DDoS más grande de la historia: así fue la ofensiva de 3,8 terabits por segundo

4 octubre, 2024 18:37

Los ataques con ransomware software malicioso no son el único problema en España y en el resto del mundo. En los últimos años hemos visto la temible figura de los ataques DDoS o ataques de Denegación de Serviciorealizados para tumbar servidores de empresas enteras. En agosto de este año, Microsoft sufrió un durísimo ataque DDoS y el año pasado, Cloudflare paró el considerado en ese momento más grande de la historia. Ahora, la misma Cloudflare acaba de mitigar uno todavía mayor.

El proveedor de servicios de Internet afirma haber combatido el ataque DDoS más grande jamás registrado, el cual ha roto récords respecto a sus antiguos predecesores. Esta campaña albergó más de cien ataques DDoS hipervolumétricos a lo largo de septiembre, muchos de los cuales superaron los 2.000 millones de paquetes por segundo y la brutal cifra de 3 terabits por segundo. El pico máximo alcanzó los 3,8 Tbps en un lapso de 65 segundos.

Así, este ataque se ha alzado en palabras de Cloudflare como el "mayor ataque revelado públicamente por una organización". Lo más sorprendente es que Cloudflare asegura haber estado rechazando estos ataques DDoS desde principios de septiembre. Además, explican que estos ataques se pudieron mitigar de forma autónoma, gracias a las protecciones automáticas de los clientes del proveedor.

El mayor ataque DDoS registrado

Todo comienza a principios del mes pasado, cuando los responsables de la empresa comenzaron a observar esta campaña de ataques. Dicha campaña estaba destinada a clientes de Cloudflare ubicados en todo tipo de sectores; Internet, telecomunicaciones, plataformas financieras, etcétera. El ataque era de carácter internacional, aunque la lista de países que más equipos atacantes albergaban incluía a Vietnam, Rusia, Brasil, EE.UU y España.

Pero ¿qué es un ataque DDoS? Este tipo de ataques conocidos como ataques de denegación de servicio consisten en mandar una cantidad ingente de flujos de información a servidores de empresas y organizaciones para que estos se sobrecarguen y tumbarlos. La idea detrás de los DDoS es denegar los principales servicios distribuidos y así inhabilitar sus infraestructuras y sus servidores.

Gráficas con el volumen de estos ataques.

Gráficas con el volumen de estos ataques. Cloudflare Omicrono

Se realizan en su mayoría desde bots procedentes de servidores que se encargan de redirigir el tráfico a los servidores destinatarios. Lo normal es realizarlos con redes de equipos conectados a Internet usualmente infectados con malware, lo que permite a los atacantes controlarlos de forma remota. Este tipo de dispositivos se conocen como 'bots' o 'zombies'.

Cloudflare expone que los atacantes usaron el User Datagram Protocol o UDP/IP en un puerto fijo, un protocolo de comunicación usado para transmisiones englobadas dentro de limitaciones temporales. Un sistema que permite transferir datos de forma muy rápida pero haciendo que los paquetes enviados se pierdan en el tránsito. Lógicamente, es idóneo para realizar esta clase de ataques.

El proveedor cre que estos ataques de alta velocidad parecían originarse en un gran número de routers domésticos ASUS comprometidos por hackers. La sospecha viene debido a una vulnerabilidad encontrada en estos equipos que la firma Censys descubrió el pasado mes de junio, titulada CVE-2024-3080. El objetivo era agotar los recursos necesarios a nivel de ciclos de CPU y ancho de banda de los clientes necesarios para que estos pudieran ofrecer servicio.

¿Cómo se protegió Cloudflare?

Existen varios factores que ayudaron al proveedor a protegerse de este tremendo ataque. Lo primero es que la red de la plataforma está basada en Anycast, un servicio que permite que varias máquinas ubicadas en distintas partes del mundo anuncien una única IP. Y es que un paquete enviado a esa dirección IP lo servirá la máquina más cercana.

Esquema del sistema Anycast de Cloudflare.

Esquema del sistema Anycast de Cloudflare. Cloudflare Omicrono

La clave de Anycast es que obliga a que el ataque se distribuya por la red de Cloudflare, distribuyendo así su carga. "Un DVR infectado en Dallas, Texas, enviará paquetes a un servidor de Cloudflare en Dallas. Una cámara web infectada en Londres enviará paquetes a un servidor de Cloudflare en Londres", dicen desde la compañía. Por si fuera poco, Anycast también permite asignar recursos de ancho de banda y recursos informáticos a las regiones más afectadas.

Este sistema, sumado a que una gran porción del tráfico de la red de Cloudflare no consume ancho de banda de forma simétrica, hace que el ancho de banda del ataque se haya distribuido lo suficiente como para que ninguno de los enlaces ascendentes esté saturado de ninguna forma. Esto no detiene el ataque, por supuesto, pero sí lo mitiga poderosamente.

El siguiente paso es "obtener una muestra del tráfico, calificar un ataque y crear reglas para bloquear los paquetes maliciosos" que aún se encuentran llegando a la red. Numerosas tecnologías como el componente l4drop, XDP o el conocido como daemon de denegación de servicio (dosd) sirven a este fin, ya que se ejecutan a lo largo de toda la red de Cloudflare, y permiten esta sorprendente automitigación.

Al igual que ocurrió con el caso de Microsoft, no se ha atribuido la autoría del ataque a ningún grupo de atacantes. Este de hecho es uno de los mayores problemas de los ataques DDoS, que al perpetrarse con redes de ordenadores y equipos 'bots' desde distintas partes del mundo, permiten a los atacantes ocultar su identidad de forma más sencilla.