En meses recientes el mundo del DDoS cambió de un ataque complejo de botnets de pequeña escala, a una red mucho más grande basada en ataques perpetrados en gran medida por servidores web secuestrados.

Cuántos de estos servidores permanecen sin ser vistos. Sin embargo, Incapsula tuvo, recientemente, una muy buena idea, para conocer la dimensión que están adquiriendo estos cañones DDoS.

El sábado pasado Incapsula mitigó un ataque más pequeño, uno de 4Gbps, pero éste tuvo un patrón diferente que atrajo su atención.

A primera vista, el ataque parece ser algo simple, generando 8 millones de peticiones DNS por segundo, para muchos dominios de direcciones IP suplantadas (utilizando direcciones IP reales de servidores de nombres de dominio). Pero esta ocasión incluyó una pista acerca de dónde provenía: todo el tráfico llegaba de una misma fuente. Quizá de la misma red o del mismo dispositivo.

Trazándolo a una misma fuente – TTL Giveaway

Incapsula fue capaz de trazar el ataque a una sola fuente, porque esta vez los atacantes se equivocaron y las solicitudes TTL no se realizaron de forma aleatoria, haciendo que todo el tráfico llegara con el mismo TTL.

El parámetro TTL es parte del Protocolo de Intenet (IP por sus siglas en inglés). Es un campo que designa cuántos routers tiene permitido pasar un paquete antes de expirar. Cada router disminuye el contador a lo largo del camino, hasta que expira (muchas herramientas de diagnóstico, como Traceroute, utilizan este atributo). Por supuesto, como muchos otros campos, este valor puede ser suplantado y cambiado de forma aleatoria, pero es casi imposible hacer que millones de paquetes de varias fuentes tengan el mismo TTL cuando llegan a su destino y esto es exactamente lo que observó Gur Shatz, CEO y Co-fundador de Incapsula.

¿Son los servidores de nombres autoritarios los siguientes en la lista de exploits-

Otro punto interesante que observó Incapsula es que las direcciones suplantadas pertenecen a servidores DNS, pero no todos fueron de resolución de DNS abiertos. De hecho, muchas de estas direcciones IP fueron de servidores de nombres autoritarios.

El fundamento para la selección no aleatoria de direcciones IP fue evitar los mecanismos de listas negras. Esto quiere decir que los hackers están recolectando información acerca de servidores de nombres autoritarios. Con un factor de amplificación mucho más pequeños, el uso de éstos en ataques de reflexión es un poco más complicado (esto significa construir una base de datos de dominios con grandes respuestas DNS), pero son mucho más difícil de bloquear que un servidor de resolución de DNS abierto.

¿Qué significa esto-

Sólo por comparación, la proporción de este ataque, si ha utilizado amplificación DNS, con un factor de amplificación promedio de 50, habría generado un ataque DDoS superior a 200 Gbps, todo desde una única fuente/computadora.

¿Qué conocemos acerca de esta fuente-

• Es un hardware personalizado o conjunto de máquinas compartiendo la misma red. Es (casi) imposible para una máquina sencilla generar este tipo de tráfico.
• Puede utilizar 4 Gbps de ancho de banda sin que nadie lo note.

Hasta ahora, no toma una botnet para lanzar un ataque masivo DDoS. No necesita cientos de servidores de múltiples proveedores de servicio. Esa clase de poder puede ser obtenido de un único cañón DDoS, de una sola ubicación y tal vez de un solo servidor.