A raíz del incidente de GitHub sufrido el pasado 28 de febrero, se determinó que no solo fueron utilizados Bots para llevar a cabo el ataque de DDoS, en realidad fue un ataque amplificado utilizando servidores web vulnerables con una funcionalidad llamada Memcached.
Memcached es una funcionalidad que permite a diversos sitios realizar caché de datos u objetos mediante tablas de hash, lo que permite que cuando un solo servidor no tiene capacidad de atender todas las conexiones que recibe, dinámicamente el Memcached balancea la carga entre los demás servidores disponibles en su pool; sitios como Youtube, Facebook y Twitter utilizan esta tecnología.
De forma similar al ataque de GitHub de la semana pasada, Arbor confirmó un ataque de 1.7Tbps (Terabits por segundo) donde se utilizaron más de 51k servidores expuestos a internet, enviando peticiones con una dirección falsificada (spoofed IP address) que coincidía con la dirección IP de la víctima.
No se revelaron más detalles de la víctima, solo se sabe que es un usuario de un carrier estadounidense.
Estos ataques de amplificación o reflejo no son una novedad, pueden hacer uso de cualquier servicio (DNS, NTP, SNMTP, HTTP) que esté mal configurado y expuesto a internet, por lo que es importante hacer hardening y afinar los servicios y colocar controles adecuados de seguridad perimetral para evitar que estos servicios sean explotados.
Adicional a esto, se ha vuelto absolutamente indispensable el contar con mecanismos de protección y mitigación de ataques de DDoS, cuya arquitectura tecnológica esté basada en una solución híbrida que tenga la capacidad de proteger el acceso principal al servicio desde la nube, así como proteger la infraestructura tecnológica encargada de proveer el servicio como tal.
