Síguenos en:

EL MAYOR ATAQUE DE LA HISTORIA DE INTERNET

SPAMHAUS: EL MAYOR ATAQUE DE LA HISTORIA DE INTERNET
    
Corero Network Security analizó el ataque de denegación de servicio distribuido, considerado como uno de los mayores de la historia en Internet, contra SpamHaus, una organización sin fines de lucro dedicada a combatir el spam en Internet. El motivo de la acción habría sido la inclusión de un proveedor de alojamiento de Internet holandés llamado CyberBunker, conocido por no discriminar a los clientes y temas que aloja.
    
La técnica, conocida como amplificación DNS, y similar al ataque llamado smurf, aprovecha la potencia de un grupo de computadoras robots para generar una cantidad enorme de tráfico, utilizando la amplificación de servidores DNS abiertos e inundando el sistema atacado.

Los atacantes utilizaron una red de bots, con unos 1.000 computadoras infectadas controlados remotamente por los atacantes. Cada uno de ellos, simulando ser Spamhaus (Spoofing), envió peticiones de información a servidores en Internet llamados open resolvers o DNS abiertos a recibir peticiones recursivas, es decir, peticiones provenientes de IPs desconocidas en Internet. En este caso, se utilizaron aproximadamente 100.000 DNS abiertos para amplificar el ataque.

Los resolvers crearon respuestas más largas (dirigidas a Spamhaus), consiguiendo el efecto de amplificación y multiplicación, por lo que Spamhaus se vio inundado de respuestas DNS y no pudo atender a las peticiones de clientes legítimos. Tras unos días de interrupción de servicio, Spamhaus reaccionó contratando los servicios de una compañía de protección en la nube.

Esto permitió a Spamhaus solucionar el problema temporalmente, gracias a la posibilidad de absorber más tráfico. Entonces, los atacantes se focalizaron en atacar a los nodos de comunicaciones utilizados por la compañía de protección en Europa y en Asia, afectando a todos los clientes y al resto de usuarios que utilizaban estos nodos.

\"El ataque contra Spamhaus, y sus proveedores de conectividad y seguridad de Internet, es un ejemplo más de cómo los ataques DDoS se han convertido en el arma de facto elegida por ciber-activistas, cibercriminales o competidores desleales, entre otros\", explicó Marty Meyer, presidente de Corero Network Security. \"Desafortunadamente, la infraestructura compartida de Internet puede ser vulnerable a este tipo de ataque en el sistema de DNS, dado que las empresas se focalizan en proteger las aplicaciones web pero se olvidan del DNS que puede utilizarse para afectarles a ellos o utilizarlo contra terceros\".

Aunque en el mercado existen soluciones de seguridad anti DDoS, muchas de ellas no analizan el tráfico de forma bidireccional, haciéndolo sólo en un único sentido (inbound), por lo que no pueden asegurar la protección completa de la red.

Las soluciones de Primera Línea de Defensa de Corero inspeccionan el tráfico en ambos sentidos (inbound/outbound) realizando un tracking de las conexiones, y permitiendo identificar y bloquear una respuesta en el caso que no se haya realizado una petición. De no permitirse la realización de estas funciones, el tráfico no legitimo impactaría la infraestructura y los servidores, ya que una respuesta DNS es siempre valida a efectos de un firewall, Web Application Firewall, balanceador de carga o detector de intrusiones.


Of. Lima - Perú
Av. Del Pinar 152 C.Empresarial El Pinar III,
Chacarilla del Estanque -  Surco

Síguenos en:
Copyright ® 2013 DyF Technology & Networks S.A.C. Todos los derechos Reservados.