Google Cloud ha afirmado que ha rechazado lo que cree que es el mayor ataque de denegación de servicio distribuido de capa 7 jamás visto, cuando un atacante intentó interrumpir los servicios basados en Internet de uno de sus clientes el 1 de junio.
El ataque DDoS alcanzó un pico de 46 millones de peticiones por segundo utilizando peticiones basadas en el Protocolo de Transferencia de Hipertexto Seguro. «Para hacernos una idea de la magnitud del ataque, es como recibir todas las peticiones diarias a la Wikipedia en sólo 10 segundos», escribieron el director de producto de Google Cloud, Emil Kiner, y el jefe técnico, Satya Konduru, en una entrada de blog en la que describían el incidente.
Google añadió que el ataque era un 76% más potente que el de 26 millones de RPS que sufrió Cloudflare Inc. durante el mismo mes, considerado el mayor hasta la fecha.
Los ataques DDoS son utilizados por personas o entidades malintencionadas para dejar fuera de servicio sitios web y aplicaciones. Lo hacen bombardeando un servicio con millones de peticiones realizadas por bots. El incidente de junio comenzó con un ataque que empezó con unas 10.000 peticiones por segundo, antes de escalar a 100.000 RPS unos ocho minutos después.
El sistema anti-DDoS Cloud Armor de Google Cloud entró inmediatamente en acción, generando una alerta que le permitió empezar a bloquear el tráfico web malicioso. «En los dos minutos siguientes, el ataque comenzó a aumentar, pasando de 100.000 RPS a un pico de 46 millones de RPS», escribieron Kiner y Konduru.
A pesar de la escalada masiva, los atacantes no pudieron interrumpir los servicios del cliente, dijo Google.
«Dado que Cloud Armor ya estaba bloqueando el tráfico de ataque, la carga de trabajo de destino siguió funcionando con normalidad», escribieron los empleados. «Durante los siguientes minutos, el ataque comenzó a disminuir en tamaño, finalmente terminando 69 minutos más tarde a las 10:54 a.m. Presumiblemente el atacante probablemente determinó que no estaban teniendo el impacto deseado mientras incurrían en gastos significativos para ejecutar el ataque».
Google dijo que una investigación le ha llevado a creer que los ataques DDoS fueron perpetrados por la botnet Meris, que está formada por cientos de miles de módems y routers de Internet infectados, muchos de los cuales fueron vendidos por una empresa llamada MikroTik. Se dice que la botnet se creó debido a una vulnerabilidad en los productos de MikroTik que permite a los hackers controlar remotamente esos dispositivos.
La red de bots Meris ha estado vinculada a otros ataques DDoS de gran repercusión en los últimos tiempos, incluido un ataque de 22 millones de RPS contra la empresa rusa de búsquedas Yandex LLC el año pasado. Ese fue un ataque muy potente, pero el reciente ataque descubierto por Google demuestra que la red de bots Meris tiene la capacidad de generar mucha más potencia de fuego. Sin embargo, queda por ver si tiene la suficiente para enfrentarse al servicio Cloud Armor de Google.
Kine y Konduru explicaron que Cloud Armor tiene la capacidad de establecer un modelo de referencia de los patrones de tráfico normales para el sitio web de cada cliente. También cuenta con una capacidad de limitación de la velocidad que permite a los clientes limitar cuidadosamente el tráfico malicioso, permitiendo al mismo tiempo que las solicitudes legítimas interactúen con el servicio con normalidad.
El analista de Constellation Research Inc., Holger Mueller, afirmó que, al igual que las empresas utilizan la nube para ampliar sus operaciones comerciales, los actores malintencionados también pueden utilizarla para impulsar sus propias actividades ilegales. Por ello, los proveedores de la nube, como Google Cloud, tienen que idear una forma de proteger a sus clientes de estos atacantes más poderosos.
«El DDoS es una forma común de atacar sitios web y es bueno ver que Google fue capaz de frustrar lo que es, hasta ahora, el mayor ataque de este tipo registrado», dijo Mueller. «Lo que es alentador es que el software de Google también ayudó a identificar la firma del ataque y fue capaz de sugerir reglas para defender al cliente de Google. La armadura de Google se ha ampliado con el software, ya que es la única manera de contrarrestar un ataque impulsado por software. Es muy poco probable que el equipo local de una empresa hubiera podido reaccionar con la misma rapidez y eficacia, y eso es algo que los ejecutivos deberían tener en cuenta.»
El ataque fallido es obviamente una gran publicidad para el servicio Cloud Armor de Google y llega en un momento en que las empresas pueden mostrar más interés en la protección contra ataques DDoS. Varios informes recientes muestran que los ataques DDoS se han vuelto más comunes este año. Por ejemplo, Radware Ltd. dijo en un informe de análisis de amenazas a principios de esta semana que vio un aumento del 203% en los ataques DDoS contra sus clientes en los primeros seis meses del año, en comparación con el mismo período del año anterior.
La empresa de seguridad Kaspersky dijo en abril que creía que los ataques DDoS habían alcanzado un máximo histórico en el primer trimestre del año, con un aumento del 46% respecto al trimestre anterior. Tanto Kaspersky como Radware afirmaron que la invasión rusa de Ucrania ha desempeñado un papel importante en el aumento de los ataques DDoS este año.
Fuente WEb | Editado por CambioDigital Online