Akamai Diversity
Home > Web Security > Cómo contrarrestar un ataque DDoS de 363 Gbps

Cómo contrarrestar un ataque DDoS de 363 Gbps

Por José María Cayuela

El 20 de junio pasado, Akamai Technologies mitigó el mayor de los ataques DDoS del año detectado en nuestra red. El ataque iba dirigido a una empresa de medios europea y estaba compuesto de seis vectores de ataques: inundaciones SYN, fragmento UDP, PUSH, TCP, DNS, y UDP DDoS. Alcanzó los 363 Gigabits por segundo (Gbps) y 57 Millones de paquetes  por segundo (Mpps).

El análisis del ataque identificó una técnica de reflexión DNS que violaba un dominio DNSSEC configurado. Esta técnica de ataque genera un tamaño de respuesta amplificado debido a los requisitos de la Extensión de Seguridad para el Sistema de Nombres de Dominio    (DNSSEC).

• Pico del ancho de banda: 363,56 Gbps

• Pico de paquetes por segundo: 57,14 Mpps

• Vectores del ataque: inundaciones SYN, fragmento UDP, PUSH, TCP, DNS y UDP

• Puerto de destino: Aleatorio

• Vectores de ataque totales: 6

En los últimos trimestres, Akamai ha observado y mitigado un gran número de ataques de reflexión DNS y amplificación DDoS que violaban dominios DNSSED configurados. Al igual que con otros ataques de reflexión DNS, los actores maliciosos siguen utilizando DNS resolvers abiertos para sus propósitos, utilizando de forma efectiva estos resolvers como una botnet compartida. Las técnicas y duración del ataque apuntan a los posibles servicios de booter disponibles para alquilar en el mercado clandestino de alquiler de DDoS.

Se ha observado el dominio especificado en ataques DDoS contra clientes en múltiples sectores industriales y posiblemente es obra de actores maliciosos que utilizan un servicio de alquiler de DDoS y hacen uso de servicios VPS comprados, proxies públicos, botnets heredadas, y la capacidad de lanzar múltiples vectores de ataque simultáneamente como los utilizados en este ataque.

¿Qué pueden hacer las empresas? El Centro de Operaciones de Seguridad de Akamai está abierto 24/7, y nuestra amplia plataforma de mitigación basada en la nube está lista para responder. Sin embargo, existen algunos pasos que se pueden dar:

• Revisar sus estrategias y que el personal de seguridad esté preparado y sepa qué hacer en caso de un ataque o incidente de seguridad potencial

• Identificar de forma proactiva los servicios críticos que tienen que ser mantenidos durante un ataque o un incidente de seguridad potencial, así como su prioridad. Priorizar los servicios con antelación para identificar qué se puede apagar o bloquear según se necesite para limitar el impacto o la degradación del servicio

• Asegurar que se dispone de un diagrama de red actualizado, incluyendo los detalles de su infraestructura y un inventario de los activos. Esta información ayudará a determinar las acciones y prioridades a medida que vaya progresando o cambiando el ataque

• Asegurarse de que todo el personal crítico esté disponible -- si algún miembro del personal está de vacaciones o ausente por enfermedad, asegúrese de que sus funciones están cubiertas por otros

• Mantener al corriente a la dirección de TI sobre asuntos o políticas corporativos potencialmente controvertidos con la justicia social o matices políticos

• Monitorizar de cerca las conversaciones en redes sociales y blogs acerca de su empresa

• Comprobar las páginas de redes sociales, blogs y tablones de mensajes patrocinados por la empresa en busca de posts provocativos realizados por clientes y empleados. El objetivo de un ataque puede no ser la propia empresa, sino el autor de un post o mensaje de un blog específico, y la empresa podría verse afectada por el fuego cruzado

• No ignorar los correos electrónicos, textos y otras comunicaciones que realizan amenazas de extorsión o chantaje. Avise a su proveedor de mitigación de DDoS o seguridad que la empresa se ha convertido en un objetivo y tome acciones defensivas

• Alertar a las fuerzas policiales

• Mantenerse en contacto estrecho con el SOC de Akamai

Leave a comentar