Ataques DDoS de 200-400 Gbps – Krebs sobre seguridad

Durante los últimos cuatro años, KrebsOnSecurity ha sido objeto de innumerables ataques de denegación de servicio destinados a desconectarlo. A principios de esta semana, KrebsOnSecurity fue golpeado fácilmente por el ataque de este tipo más masivo e intenso hasta el momento: un ataque de casi 200 Gbps que aprovecha un método de ataque simple que, según los expertos de la industria, se está volviendo alarmantemente común.

prolexicoataque

El problema es una función aparentemente inofensiva integrada en muchos servidores de Internet conocida como Protocolo de tiempo de red (NTP), que se utiliza para sincronizar la fecha y la hora entre máquinas en una red. El problema no es con NTP en sí mismo, sino con ciertas implementaciones obsoletas o codificadas que los atacantes pueden usar para convertir un ataque relativamente insignificante en algo mucho, mucho más grande. Symantec‘s redactar sobre esta amenaza de diciembre de 2013 explica el problema de manera sucinta:

De manera similar a los ataques de amplificación de DNS, el atacante envía un pequeño paquete falsificado que solicita que se envíe una gran cantidad de datos a la dirección IP de destino. En este caso, los atacantes se están aprovechando de la comando de lista de mon. Monlist es un comando remoto en una versión anterior de NTP que envía al solicitante una lista de los últimos 600 hosts que se han conectado a ese servidor. Para los atacantes, la consulta monlist es una gran herramienta de reconocimiento. Para un servidor NTP localizado, puede ayudar a crear un perfil de red. Sin embargo, como herramienta DDoS, es aún mejor porque una pequeña consulta puede redirigir megabytes de tráfico.

principe mateoel director general de Llamarada de la nube — una empresa que ayuda a los sitios web a permanecer en línea frente a enormes ataques DDoS — blogueado el jueves sobre un ataque de casi 400 Gbps que recientemente afectó a uno de los clientes de la empresa y aprovechó la amplificación NTP. Prince dijo que aunque Cloudflare «generalmente [was] capaz de mitigar el ataque, fue lo suficientemente grande como para causar congestión en la red en partes de Europa”.

“El DDoS del lunes demostró que estos ataques no son solo teóricos. Para generar aproximadamente 400 Gbps de tráfico, el atacante usó 4529 servidores NTP que se ejecutan en 1298 redes diferentes”, escribió Prince. “En promedio, cada uno de estos servidores envió 87 Mbps de tráfico a la víctima prevista en la red de CloudFlare. Sorprendentemente, es posible que el atacante haya utilizado solo un único servidor que se ejecuta en una red que permitía la suplantación de la dirección IP de origen para iniciar las solicitudes. En teoría, un atacante con una conexión de 1 Gbps puede generar más de 200 Gbps de tráfico DDoS”.

norteO TESTOY COMO EL PAGRESENTIRSE DE

Prince sugiere una serie de soluciones para limpiar el problema que permite a los atacantes tomar el control de tantos servidores NTP mal configurados, y este es un buen consejo. Pero lo que esa publicación no menciona es la realidad de que muchos de los ataques DDoS de hoy en día están siendo lanzados o coordinados por las mismas personas que ejecutan los servicios DDoS de alquiler (también conocidos como «booters») que se esconden detrás de la propia nube gratuita de Cloudflare. servicios de proteccion

Como señalé en una charla que di el verano pasado con lance james en la conferencia de seguridad Black Hat en Las Vegas, sucede algo divertido cuando decide operar un servicio web DDoS de alquiler: su servicio se convierte en el objetivo de los ataques de los servicios DDoS de alquiler de la competencia. Por lo tanto, la mayoría de estos servicios han optado por aprovechar el servicio de distribución de contenido gratuito de Cloudflare, que generalmente hace un buen trabajo al negar este riesgo laboral para los propietarios de los servicios DDoS.

Lance James, Atentamente, y Matthew Prince.

Lance James, Atentamente, y Matthew Prince.

El Sr. Prince se opuso fuertemente a mis comentarios en Black Hat, que observó que esta industria probablemente se destruiría a sí misma sin la protección de Cloudflare y, además, algunos podrían percibir un problema de credibilidad con una empresa que vende servicios de protección DDoS que brindan un refugio seguro a toda una cabaña. industria de servicios DDoS-for-hire.

Prince ha señalado que, si bien Cloudflare responderá a los procesos legales y las citaciones de las fuerzas del orden público para desconectar los sitios, «a veces tenemos órdenes judiciales que nos ordenan que no eliminemos los sitios». De hecho, uno de esos ejemplos fue CarderProfit, un foro de cardado protegido por Cloudflare que resultó ser una elaborada operación encubierta creada por el FBI.

Dijo que la compañía tiene una política declarada de no destacar un tipo de contenido sobre otro, citando el temor de deslizándose por una pendiente resbaladiza de censura.

En una entrevista telefónica hoy, Prince enfatizó que no ha visto indicios de que se estén enviando paquetes maliciosos reales fuera de la red de Cloudflare desde las docenas de sitios web de servicios de arranque que están utilizando el servicio. Más bien, dijo, esos servicios de arranque son simplemente el fin de marketing de estas operaciones.

“La naturaleza misma de lo que estamos tratando de construir es un sistema mediante el cual cualquier contenido puede estar en línea y podemos hacer que los ataques de denegación de servicio sean cosa del pasado. Pero eso significa que algunos contenidos controvertidos terminarán en nuestra red. Tenemos un ataque de más de 100 Gbps casi todas las horas de todos los días. Si realmente pensé que resolvería el problema, y ​​si nuestra red realmente se estaba utilizando en estos ataques, no hay que pensarlo dos veces. Pero no puedo aceptar la idea de que debemos negar el servicio a un sitio de marketing solo para que pueda ser atacado por estos otros sitios, y que esto de alguna manera hará que el problema desaparezca. No creo que eso sea correcto, y nos lleva por una pendiente resbaladiza”.

Como periodista, obviamente apoyo mucho los derechos de libertad de expresión. Pero me parece que la mayoría de estos servicios DDoS de alquiler son, por definición, todo acerca de sofocar el discurso. Peor aún, en los últimos meses, las personas detrás de estas ofertas han comenzado a aferrarse a los ataques NTP, dijo allison nixoninvestigador de NTT Com Seguridad quién habló sobre técnicas de desvío de protección DDoS en el Black Hat del año pasado.

“Hay una creciente conciencia de los ataques basados ​​en NTP en la clandestinidad criminal en los últimos meses”, dijo Nixon. “Creo que es porque nadie se dio cuenta de cuántos servidores vulnerables existen hasta hace poco. “El problema técnico de la amplificación NTP se conoce desde hace mucho tiempo. Ahora que se intercambian más y más listas de ataques, la disponibilidad de servicios DDoS con funcionalidad de ataque NTP va en aumento”.

(S) LOS NIÑOS SOLO QUIEREN DIVERTIRSE

Lo impactante de estos servicios DDoS de alquiler es que, como he informado en varias historias anteriores, la mayoría de ellos están a cargo de niños pequeños que aparentemente no pueden pensar en una mejor manera de demostrar cuán geniales y «leet» son. son que dejar fuera de línea los sitios web y lanzar ataques enormemente perjudiciales. Caso en cuestión: mi sitio parece haber sido atacado esta semana por un niño de 15 años de Illinois que se hace llamar “Sr. Booter Master” en línea.

Tecnologías proléxicas, la compañía que ha estado protegiendo a KrebsOnSecurity de los ataques DDoS durante los últimos 18 meses, dijo que el ataque que golpeó mi sitio esta semana registró apenas 200 Gbps. Hace uno o dos años, un ataque de 200 Gbps habría estado cerca del ataque más grande registrado, pero el aumento general en el volumen de ataques durante el año pasado hace que la línea de tiempo de los ataques más grandes se parezca un poco a un palo de hockey, según una publicación de blog sobre ataques NTP publicado hoy por Arbor Networks. El artículo de Arbor dice mucho sobre las motivaciones y la madurez de las personas detrás de la mayoría de estos ataques NTP.

Fuente: Arbor Networks

Fuente: Arbor Networks

El ataque NTP en mi sitio duró poco, solo unos 10 minutos de duración, según Prolexic. Eso sugería que el ataque era poco más que una prueba de concepto, una demostración.

De hecho, poco después de que el ataque remitiera, escuché de una fuente confiable que monitorea de cerca la actividad de los piratas informáticos en la clandestinidad del cibercrimen. La fuente quería saber si mi sitio había sido recientemente objeto de un ataque de denegación de servicio. Dije que sí y le pregunté qué sabía al respecto. La fuente compartió información que mostraba que alguien que usaba el apodo «Rasbora» había publicado recientemente varios indicadores en un foro privado en un intento por demostrar que acababa de lanzar un gran ataque contra mi sitio.

Rasbora ama a DDoS

Publicaciones de Rasbora en Hackforums.

Aparentemente, Rasbora hizo esto para poder demostrar su grandeza a los administradores de código oscuro, un foro de ciberdelincuencia celosamente guardado que ha sido perfilado extensamente en este blog. Rasbora estaba ansioso por mostrar lo que podía contribuir a la comunidad Darkode, y su solicitud de membresía dependía en parte de si podría tener éxito en eliminar mi sitio. (Por cierto, esta no es la primera vez que los administradores de Darkode han utilizado mi sitio como objetivo de prueba para investigar a los posibles miembros que se postulan en función de la fuerza de alguna destreza DDoS profesada).

Rasbora, al igual que otros jóvenes estadounidenses involucrados en servicios de DDoS por contrato, no ha hecho un gran trabajo al separar su yo en línea de su personalidad en la vida real, y no pasó mucho tiempo antes de que hablara con el padre de Rasbora. Su padre parecía genuinamente alarmado, aunque no tenía ni idea, al enterarse de las supuestas actividades de su hijo. El propio Rasbora accedió a hablar conmigo, pero negó ser responsable de ningún ataque a mi sitio. Sin embargo, admitió haber usado el apodo de Rasbora, y eventualmente, estar consumido con varios proyectos relacionados con actividades DDoS.

Rasbora mantiene una presencia saludable en Hackforums[dot]net, un foro relativamente abierto que está lleno de niños pequeños que se dedican a vender servicios de piratería y código malicioso de un tipo u otro. A lo largo de 2013, ejecutó un servicio DDoS de alquiler oculto detrás de Cloudflare llamado «Flashstresser.net», pero actualmente no se puede acceder a ese servicio. En estos días, Rasbora parece estar tomando proyectos en su mayoría por contrato privado.

Algunas de las publicaciones de Rasbora antes de nuestra llamada telefónica.  La mayoría de estos han sido eliminados desde entonces.

Algunas de las publicaciones de Rasbora antes de nuestra llamada telefónica.

El proyecto más reciente de Rasbora es reunir y mantener enormes listas de servidores de «máxima calidad» que se pueden usar para lanzar ataques de amplificación en línea. A pesar de su insistencia en que nunca lanzó ataques DDoS, Rasbora finalmente permitió que alguien que leyera sus publicaciones en Hackforums pudiera concluir que estaba involucrado activamente en ataques DDoS a sueldo.

“Sin embargo, no veo qué puede decir una pared de texto sobre lo que alguien hace en la vida real”, dijo Rasbora, cuya identidad en la vida real se oculta porque es menor de edad. Esta respuesta vino en respuesta a que le leí varias publicaciones que había hecho en Hackforums no 24 horas antes que sugerían fuertemente que todavía estaba en el negocio de desconectar sitios web: En una publicación del 12 de febrero en un hilo llamado «Contratar a un visita un sitio web” que Rasbora eliminó desde entonces, le dice a un compañero usuario de Hackforums: “Si todo lo demás falla y solo lo quieres fuera de línea, envíame un mensaje privado”.

Rasbora ha tratado de limpiar algunas de sus publicaciones más autoincriminatorias en Hackforums, pero se mantiene desafiantemente firme en su afirmación de que no ataca a las personas. Quién sabe, tal vez su padre lo castigue y le quite sus privilegios de Internet.

Deja un comentario