Descubra cómo Gcore frustró potentes ataques DDoS de 1,1 Tbps y 1,6 Tbps


01 de diciembre de 2023Las noticias de los piratas informáticosSeguridad de red/ataque cibernético

El más reciente Informe de radar de Gcore y sus consecuencias han destacado un aumento dramático en los ataques DDoS en múltiples industrias. A principios de 2023, la fuerza media de los ataques alcanzó los 800 Gbps, pero ahora, incluso un pico de más de 1,5 Tbps no es sorprendente. Para intentar romper las defensas de Gcore, los perpetradores hicieron dos intentos con dos estrategias diferentes. Continúe leyendo para descubrir qué sucedió y cómo el proveedor de seguridad detuvo a los atacantes en seco sin afectar las experiencias de los usuarios finales.

Un poderoso ataque DDoS

En noviembre de 2023, uno de los clientes de Gcore de la industria del juego fue blanco de dos ataques DDoS masivos, con un máximo de 1,1 y 1,6 Tbps respectivamente. Los atacantes desplegaron varias técnicas en un intento fallido de comprometer los mecanismos de protección de Gcore.

Ataque nº1: DDoS basado en UDP de 1,1 Tbps

En el primer ciberataque, los atacantes enviaron una andanada de tráfico UDP a un servidor objetivo, alcanzando un máximo de 1,1 Tbps. Se emplearon dos métodos:

  • Mediante el uso puertos de origen UDP aleatoriosesperaban evadir los mecanismos de filtrado convencionales.
  • Los atacantes ocultaron su verdadera identidad falsificar direcciones IP de origen.

Se trataba de un clásico ataque de inundación (o volumétrico), mediante el cual los atacantes esperaban consumir todo el ancho de banda disponible de o hacia un centro de datos o red, abrumando los servidores de destino con tráfico y haciéndolos no disponibles para los usuarios legítimos.

El siguiente gráfico muestra el tráfico de clientes durante el ataque. El pico de 1,1 Tbps muestra un intento agresivo pero de corta duración de inundar la red con datos. La línea verde (“total.general.input”) muestra todo el tráfico entrante. Las otras líneas de colores en el gráfico representan las respuestas de la red, incluidas medidas para filtrar y eliminar el tráfico malicioso, mientras el sistema gestiona la avalancha de datos.

Gráficos de líneas que muestran un aumento en el tráfico de red de un cliente de Gcore, con un máximo de 1,1 Tbps, indicativo de un ataque DDoS sustancial
El ataque comprendió un pico breve pero intenso de 1,1 Tbps alrededor de las 22:55

Ataque n.º 2: DDoS basado en TCP de 1,6 Tbps

Gráfico de un ataque de nueve horas con un volumen de tráfico constante de 700 Mbps y un pico de 1600 Mbps al inicio
El volumen de tráfico constante del ataque fue de 700 Mbps y al inicio alcanzó un máximo de 1600 Mbps.

Esta vez, los atacantes intentaron explotar el protocolo TCP con una combinación de inundación SYNPSH y ACK.

En un ataque de inundación SYN, se entregan varios paquetes SYN al servidor de destino sin paquetes ACK. Esto significa que el servidor genera una conexión medio abierta para cada paquete SYN. Si tiene éxito, el servidor finalmente se quedará sin recursos y dejará de aceptar conexiones.

La fase PSH y ACK del ataque envía rápidamente datos al sistema objetivo. El indicador ACK indica que el servidor recibió el paquete anterior. Esto empuja al sistema a manejar los datos rápidamente, desperdiciando recursos. Es más difícil defenderse de un ataque de inundación SYN que utiliza paquetes PSH y ACK que de una inundación SYN, ya que el indicador PSH hace que el servidor procese el contenido del paquete inmediatamente, consumiendo más recursos.

Como antes, el objetivo era sobrecargar los servidores del cliente y hacer que sus servicios fueran inaccesibles para los usuarios autorizados. Esta inundación SYN tuvo un volumen máximo de 685,77 Mbps y el PSH, ACK tuvo una magnitud de 906,73 Mbps.

Las estrategias defensivas de Gcore

La protección DDoS de Gcore neutralizó eficazmente ambos ataques y al mismo tiempo preservó el servicio regular para los usuarios finales del cliente. El enfoque general para defenderse de las amenazas de seguridad DDoS incluye varias técnicas, como las defensas de primera línea de Gcore:

  • Conformación dinámica del tráfico: Las tasas de tráfico ajustadas dinámicamente mitigan eficazmente el impacto del ataque y al mismo tiempo garantizan la continuidad de los servicios críticos. Para priorizar el tráfico genuino y al mismo tiempo ralentizar las transmisiones dañinas, se utilizan umbrales adaptativos y restricciones de velocidad.
  • Detección de anomalías y cuarentena: Los modelos basados ​​en aprendizaje automático analizan el comportamiento para identificar anomalías. Cuando ocurre una anomalía, los mecanismos de cuarentena automatizados redirigen el tráfico erróneo a segmentos aislados para realizar análisis adicionales.
  • Filtros de expresiones regulares: Para bloquear cargas útiles maliciosas sin interrumpir el tráfico legítimo, se implementan reglas de filtrado basadas en expresiones regulares. Su ajuste continuo garantiza una protección óptima sin falsos positivos.
  • Inteligencia colaborativa sobre amenazas: Gcore participa activamente en el intercambio de inteligencia sobre amenazas con pares de la industria. Los conocimientos colectivos y las fuentes de amenazas en tiempo real guían las técnicas de seguridad de Gcore, lo que permite una respuesta rápida a los vectores de ataque en desarrollo.

Al emplear estas estrategias, Gcore pudo mitigar eficazmente el impacto de los ataques DDoS y proteger la plataforma de sus clientes contra interrupciones, eliminando posibles pérdidas financieras y de reputación.

Conclusión

Los ataques DDoS de un volumen de más de 1,5 Tbps representan un peligro cada vez mayor en todas las industrias, y los atacantes utilizan técnicas imaginativas para intentar eludir los servicios de protección. En el transcurso de 2023, Gcore ha registrado aumentos en los volúmenes de ataque promedio y máximo, y estos dos ataques conectados demuestran esa tendencia.

En los ataques tratados en el artículo, Gcore pudo prevenir cualquier daño mediante una combinación de configuración dinámica del tráfico, detección de anomalías, filtros de expresiones regulares e inteligencia colaborativa contra amenazas. Explorar Protección DDoS opciones para proteger su red contra amenazas DDoS en constante evolución.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57