Como han evolucionado las tecnicas de ataques DDoS
Desde los ataques de denegación de servicio de hágalo usted mismo en la década de 1990 hasta los ataques memcached de toboganes de terabits de este año, los ataques distribuidos de denegación de servicio han alcanzado nuevos niveles de sofisticación y volumen.
Estos son algunos de los momentos clave en la evolución de los ataques DDoS. Los primeros ataques DoS explotan la seguridad del sistema operativo laxo mainframe
Las primeras historias de posibles ataques DDoS son principalmente anecdóticas. Una historia ampliamente citada afirma que un ex estudiante de secundaria pudo usar un sistema de computadora central conocido como PLATO para lanzar un ataque dentro de una pequeña red de terminales en 1974.
El ataque usó un comando PLATO, conocido como ext, para dirigir otros terminales conectados al mainframe para intentar conectarse a un dispositivo externo inexistente. El comando causó que el sistema se bloquee y los otros 31 usuarios en la sala tuvieron que cerrar.
Sin embargo, las fechas en la historia parecen estar fuera por un año, ya que el administrador del sistema PLATO parcheó el sistema para la explotación externa en los dos primeros días de 1974.
A principios de la década de 1980, los investigadores de Xerox PARC John Shoch y John Hupp acuñaron el término "gusano" para un programa que se propaga automáticamente de un sistema a otro. Su gusano se copió a cada sistema en una red de investigación, y, debido a un error, se estrelló con cada máquina, lo que equivale a un ataque de denegación de servicio.
1995 Activistas lanzan ataques manuales de protesta DoS
A fines de la década de 1990, los grupos activistas comenzaron a usar Internet como una forma de crear sentadas virtuales, bloqueando el acceso a los sitios web como una forma de protesta. Quizás el primer grupo en ejercer este poder fue Strano Network , una colección de personas con ideas afines que trabajaron para protestar contra la política nuclear del gobierno francés.
En lugar de utilizar un programa para conectarse en repetidas ocasiones a un sitio web, la red Strano les pidió a los participantes que visiten y vuelvan a cargar los sitios seleccionados.
1998 FloodNet y el robot DDoS autoinstalado
Unos años después de Strano Network, otro grupo de artistas de performance y manifestantes, el Electronic Disturbance Theatre, desarrolló una herramienta llamada FloodNet que los participantes podían descargar y ejecutar en sus propias computadoras. La herramienta de ataque luego usaría una lista de objetivos proporcionados por el EDT para atacar sitios web específicos.
El primer uso principal de la herramienta fue apoyar al Ejército Zapatista en México contra el gobierno en 1998 y luego atacar a la Organización Mundial del Comercio en 1999.
1998 Los ataques de pitufo causan interrupciones
Los primeros grandes ataques de amplificación y reflexión también aparecieron en 1998 cuando los malhechores en línea utilizaron su capacidad para hacer que otros servidores "hagan ping" a un objetivo utilizando el Protocolo de mensajes de control de Internet (ICMP). Conocido como un ataque Smurf, estas inundaciones de paquetes fueron simples pero efectivas . Al enviar una dirección de origen falsificada en el paquete, el atacante podría reflejar el tráfico hacia el objetivo y ocultar la verdadera fuente del ataque. Al usar una dirección de transmisión de red, el atacante puede amplificar la cantidad de paquetes enviados por un factor de 255.
El ataque fue utilizado contra la Universidad de Minnesota en marzo de 1998, causando una reacción en cadena que ocasionó apagones significativos y una pérdida de paquetes del 30 por ciento.
1999 Trinoo y las primeras botnets de servidor
La Universidad de Minnesota también tuvo un pequeño respiro el próximo año. En agosto de 1999, la universidad fue atacada con el programa Trinoo bot, que se instaló en al menos 227 servidores Solaris comprometidos.
"Cuando voy mucho, mucho más atrás, el historial de DDoS comenzó con el aprovechamiento del malware: se apoderó de un montón de máquinas domésticas y luego usó esas máquinas para atacar a otras", dijo Shaul de Akamai. "Pero la gente no tenía mucho ancho de banda, así que pasamos de usar estaciones de trabajo y computadoras hogareñas a usar servidores".
Trinoo inició una tendencia en servidores comprometidos para ataques de denegación de servicio. Un programa popular, llamado Stacheldraht (alemán para "alambre de púas"), fue creado por un pirata informático que usa el nombre Mixter y luego es utilizado por otros para atacar una variedad de sitios. Otro programa, conocido como Tribe Flood Network, era similar a Trinoo. Fue utilizado por Michael Calce, entonces conocido como "MafiaBoy", para derribar los principales sitios web de la época, incluidos Amazon, CNN y Yahoo!
2000 Los atacantes de DoS aprovechan cada vez más el servicio de nombres de dominio
Los atacantes han utilizado con frecuencia los paquetes del servicio de nombres de dominio (DNS) como carga útil durante los ataques de denegación de servicio. Pero a partir de 2000, el Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas (CERT) advirtió que un número cada vez mayor de ataques había comenzado a utilizar el DNS como medio para amplificar el ancho de banda.
"Hemos visto a intrusos utilizar múltiples servidores de nombre en diversas redes en este tipo de ataque para lograr un ataque de Denegación de Servicio Distribuida contra sitios de víctimas", declaró el grupo en un aviso de abril de 2000.
Las empresas en gran medida no hicieron caso a la advertencia. En otro aviso, seis años más tarde , el CERT de los Estados Unidos señaló que del 75 al 80 por ciento de los servidores aún permitía la recursión, la capacidad del servidor DNS que permite los ataques de amplificación.
2003 Gusanos de rápida propagación centran su atención en la seguridad de Windows
La primera década del siglo marcó el apogeo del gusano informático. Programas como Code Red, Nimda y Blaster tuvieron un éxito significativo al infectar redes y provocar dolores de cabeza a los administradores del sistema. Estos programas de autopropagación también convencieron a Microsoft para que cambie de curso y no se concentre en las nuevas funciones de su sistema operativo Windows para centrarse en la seguridad.
En 2003, el mundo encontró su primer gusano de destello, el gusano MS SQL Slammer de 376 bytes, que se propagó tan rápido que duplicó la cantidad de sistemas infectados cada 8,5 segundos y saturó el ancho de banda de la red local en 3 minutos . Cinco minutos después de que comenzara a propagarse, el gusano Slammer alcanzó los 80 millones de paquetes por segundo, un nivel que no se volvería a ver en otra década.
2009 El gusano MyDoom utilizado contra sitios de EE.UU. Y Corea del Sur
En 2009, aproximadamente 50.000 computadoras infectadas con el gusano MyDoom fueron utilizadas por atacantes para atacar sitios gubernamentales, financieros y comerciales en los Estados Unidos y sitios gubernamentales en Corea del Sur. El ataque, que tuvo un pico de ancho de banda de 13 Gbps, causó poco tiempo de inactividad , pero incitó a los políticos a culpar a Corea del Norte por lanzar el ataque.
El ataque se produjo cinco años después de que las variantes del gusano MyDoom se utilizaran para lanzar un ataque DDoS en el sitio web de la empresa de software Unix SCO Group, que fue atacada porque la compañía afirmó en un juicio que era propietaria del sistema operativo Linux. Microsoft también fue golpeado en el mismo ataque, que demostró la efectividad del uso de una gran cantidad de computadoras de consumidores contra sitios web y redes.
2016 Internet insegura de dispositivos de cosas usadas para amplificar
En septiembre y octubre de 2016, casi 50,000 dispositivos de Internet de cosas en 164 países inundaron objetivos con tráfico de hasta 280 Gbps , según la firma de seguridad Imperva. Este ataque DDoS usó principalmente cámaras de video y grabadoras digitales para enviar tráfico relativamente sofisticado a las redes de las víctimas.
Los ataques resultantes en el sitio web del investigador y periodista de seguridad Brian Krebs y del proveedor de servicios de infraestructura DynDNS superaron los 620 Gbps, según la firma de infraestructura de Internet Akamai .
Si bien el ancho de banda máximo superó los registros anteriores, el hecho de que el número de paquetes por segundo superara los 100 Mbps causó más problemas para los defensores, dijo Ofer Gayer, gerente sénior de productos de la firma de seguridad Imperva.
"Este es uno de los desafíos que tienen las empresas", dijo. "Agregar más ancho de banda a su red es mucho más difícil de tomar decisiones sobre los paquetes en tiempo real".
2018 Los atacantes usan memcached como herramienta DoS
El 28 de febrero, la capacidad de los desarrolladores de software para conectarse al servicio de software colaborativo GitHub se interrumpió durante aproximadamente 10 minutos. Un atacante que usaba un ataque de amplificación atacó el sitio con un ataque masivo de denegación de servicio distribuido que dirigió 1.35 Tbps de tráfico en el sitio entre las 17:21 UTC y las 17:30 UTC, según un informe publicado por el equipo de ingeniería de la compañía.
El atacante aprovechó un protocolo relativamente oscuro que les permitió amplificar un ataque simple y redirigir paquetes mucho más grandes en la red de la víctima. En este caso, el ataque abusó de un protocolo conocido como memcached que, si está habilitado en un servidor conectado a Internet, podría usarse para amplificar un ataque por un factor de hasta 51,000.
El problema era que, en muchas redes, memcached se habilitaba en servidores que estaban expuestos a las redes y eran fácilmente explotables por los atacantes.
"¡Es uno de los mejores protocolos para amplificación jamás utilizados!" Marek Majkowski, un miembro del equipo con CloudFlare, declaró en el blog de la compañía . "No hay absolutamente ningún control, y los datos se entregarán al cliente con una velocidad increíble. Además, la solicitud puede ser pequeña y la respuesta enorme (hasta 1MB)".
El ataque de Github no marcó el final de la escalada en los ataques de denegación de servicio. A los pocos días del ataque a Github, un segundo ataque contra un objetivo no revelado en la industria del juego en línea consumió 1,7 Tbps de ancho de banda, según la filial de Netscout Arbor Networks, que se negó a nombrar el objetivo.
Para el 9 de marzo, Arbor señaló que el tamaño de los ataques DDoS de memoria caídos se redujo debido a los esfuerzos de mitigación que incluyeron la protección de servidores vulnerables.
Sin embargo, a medida que crezca el ancho de banda global de la red, crecerá también el volumen de paquetes lanzados como parte de los ataques de denegación de servicio, dijo Arbor's Dobbins, mientras los atacantes encuentran nuevas técnicas DDoS.
"El principal factor de inhibición para estos ataques es el ancho de banda disponible", dijo. "Y no veo ninguna razón para que esta tendencia no continúe en el futuro".