La historia detrás del ataque DDoS más grande de todos los tiempos

Por , actualizado en

Ataque DDoS (tomado de blacklotus.net)

El día de hoy la empresa CloudFlare dió a conocer que se está llevando a cabo el ataque DDoS más grande de todos los tiempos, al menos dentro de los públicos, claro está. ¿Como empezó todo esto? en un inicio, la organización Spamhaus contactó a la empresa CloudFlare, que ofrece un servicio de protección y aceleramiento de sitios (usado en este pequeño blog por cierto), debido a que estaba sufriendo un ataque de negación de servicio. Para los que no sepan que es, Spamhaus es una organización sueca de voluntarios que se encarga de publicar a través de DNS una lista de spammers identificados por IP de modo que quien lo desee puede bloquear a estas ratas usando esta lista. Regresando al ataque, al momento de aliarse con CloudFlare este era de unos 10 Gbps de tráfico proveniente de resolutores abiertos de DNS; al poco tiempo el tamaño del ataque llegó a 90 Gbps, y se mantuvo fluctuante entre 30 y 90 Gbps; a estas alturas CloudFlare ya había detenido el ataque y estaba absorbiendo todos los trancazos gracias a su infraestructura, pero ahí no pararía la cosa.

Entonces los atacantes se percataron que no podrían tirar a Spamhaus ni a CloudFlare, y fue cuando cambiaron de táctica llendo tras los proveedores de red que CloudFlare usa para su ancho de banda; incluso llegaron a atacar a los centros de intercambio de Internet o IX, que son los lugares donde se cruzan varias redes, y son usados por muchos pesos pesados de la industria para transferir datos entre redes de manera eficiente; los atacantes fueron tras de estos también. Pero de nuevo, no paró ahí el problema: fueron detrás de los Tier 2 y Tier 1 que alimentan el ancho de banda de CloudFlare, y aquí está el verdadero problema, de todo Internet.

Hagamos un intermedio para entender mejor lo que pasa: los llamados proveedores Tier 2 son los lugares donde las compañías grandes como CloudFlare compran su ancho de banda. Más allá de estás están las redes Tier 1; los proveedores Tier 1 son apenas poco más de una docena y estos no compran ancho de banda, sino que a través de lo que se conoce como peering se unen a otras redes Tier 1; luego los Tier 2 se interconectan entre si y compran ancho de banda de los proveedores Tier 1 de modo que se puedan conectar a cualquier punto en Internet. En pocas palabras, si algo le pasa a un proveedor Tier 1, Internet está en problemas. Piensa en la Ciudad de las Máquinas de Matrix. Fin del intermedio.

Resulta que los atacantes lograron golpear a un Tier 1 con tráfico de más de 300 Gpbs, usando redes propias y si acaso una centésima parte de esa cantidad de tráfico, lo que lo convierte en uno de los ataques más grandes reportados, cosa que honestamente me parece fascinante, pero también alarmante. Ese golpe al Tier 1 se hizo sentir sobre todo en Europa, donde afectó a mucha gente que vio su conexión lenta y con fallos ocasionales. Y hay que ver porqué empezó todo este problema: el verdadero origen según lo que se sabe hasta ahora, es que Spamhaus añadió a su lista negra a la empresa de hosting CyberBunker, famosa por alojar todo tipo de sitios mientras no sean de pornografía infantil ni relacionados con terrorismo…si mandas spam, entonces estás bien. Al inicio del día la versión era que el mismo CyberBunker estaba coordinando el ataque, pero ahora mismo no es muy claro si así es en realidad.

El verdadero problema de este ataque

Al fondo de todo esto se encuentra una vulnerabilidad en Internet: los resolutores DNS abiertos. En un ataque reflector de DNS, un atacante puede falsificar la IP de la víctima y enviar una petición para una zona DNS grande a resolutores DNS abiertos; los resolutores responderán enviando los archivos de la zona grande a la víctima; el atacante entonces puede solicitar un archivo de zona más grande, amplificando el ataque rápidamente hasta que la víctima ve rebasadas sus capacidades. Pero todo esto se basa en resolutores DNS abiertos, aquellos que responden a una petición de cualquier rango de IP’s y no restringiéndose al rango donde operan, lo que ocasiona que cualquiera pueda hacer una consulta, y también llevar a cabo un ataque como este. Lo peor de todo es que corregir el problema es hasta cierto punto trivial, pero requiere de acciones de parte de cada operador de DNS e ISP’s, lo que sí representa bastante trabajo.

Ya hay una iniciativa para corregir el problema en el sitio Open DNS Resolver Project, pero aún queda mucho por hacer; sólo para este ataque de Spamhaus se identificaron 30,000 resolutores DNS usados, para darnos una idea de la dimensión del problema. Por lo pronto, el sitio de CyberBunker está abajo, y sólo puedo desearles que les den su merecido, que es lo que creo que está pasando justo ahorita. A ellos les digo: disfruten el haber sacudido ese avispero llamado Internet. 😀

Deja un comentario