La empresa de ciberseguridad Imperva ha desvelado que consiguió mitigar un ataque de denegación de servicio (DDoS) con más de 25.300 millones de solicitudes el pasado mes de junio.
Según la compañía, este ataque DDoS tuvo como objetivo una empresa de telecomunicaciones de origen asiático cuya identidad no ha sido desvelada.
Lo que sí se ha revelado es que el ataque duró cuatro horas y alcanzó un máximo de 3,9 millones de solicitudes por segundo (RPS). La media durante este tiempo fue de 1,8 millones de solicitudes por segundo.
Además, se lanzó utilizando una botnet con casi 170.000 direcciones IP diferentes que abarcaban routers, cámaras de seguridad y servidores comprometidos. Estos dispositivos estaban ubicados en más de 180 países, principalmente Estados Unidos, Indonesia y Brasil.
De acuerdo con el comunicado emitido por Imperva, los atacantes utilizaron la multiplexación de HTTP/2, combinando varios paquetes en uno, para enviar varias solicitudes a la vez a través de conexiones individuales.
Sin duda, un nuevo ciberataque de récord que se acerca al que Cloudflare consiguió mitigar el pasado mes de junio. En aquella ocasión, el ataque superó los 26 millones de solicitudes por segundo, aunque su duración fue menor que el bloqueado por Imperva.
Y es que, lo normal es que este tipo de ataques duren entre unos segundos y algunos minutos, no horas como ha sucedido en esta ocasión. Sin embargo, parece que esta práctica se está convirtiendo en habitual.
Nueva oleada de ataques DDoS
El conocimiento de este ataque se produce coincidiendo con la publicación de que el proveedor de infraestructura web Akamai ha bloqueado un nuevo ataque DDoS de grandes dimensiones. Ocurrido el pasado 12 de septiembre, el ataque estaba dirigido a un cliente con sede en Europa del Este y se enviaron 704,8 millones de paquetes por segundo.
Precisamente, este cliente ya había sido víctima previamente el pasado mes de julio de un ataque similar. Entonces, el volumen del ciberataque fue aún mayor, de 853,7 Gbps y 659,6 millones de paquetes por segundo a lo largo de 14 horas.
Ante esta situación, el responsable de producto de Akamai, Craig Sparling, ha explicado que la compañía «ha sido bombardeada implacablemente con sofisticados ataques distribuidos de denegación de servicio (DDoS)». En su opinión, estas ofensivas podrían tener motivaciones políticas derivadas de la guerra entre Rusia y Ucrania.
En ambos ataques, los ciberdelincuentes enviaron de forma masiva paquetes de datos a puertos de forma arbitraria en el host de destino mediante paquetes UDP (User Data Protocol). Esto permite enviar datagramas IP en bruto sin necesidad de establecer una conexión.
En este sentido, al no necesitar conexión ni sesión, se convierte en un protocolo de red idóneo para gestionar el tráfico de VoIP. Sin embargo, como se ha comprobado, también lo hacen más susceptible a la explotación y, en este caso, se han utilizado para enviar un gran volumen de tráfico a cualquier host.
Desde el proveedor de productos de gestión del rendimiento de aplicaciones y la red, NetScout Systems, señalan que, al no haber protecciones internas, no se puede limitar un desbordamiento por UDP. «Como resultado, los ataques DoS con inundación de UDP son excepcionalmente peligrosos porque pueden ejecutarse con una cantidad limitada de recursos», apuntan desde la compañía.
