Las noticias de ataques de denegación de servicio distribuido (DDOS) son comunes, pero el reciente que involucra a Cloudfare ha establecido nuevos récords en cuanto a su alcance. En concreto, nos remontamos a principios de verano y es solo ahora que se hace pública la información sobre este ataque.
El ataque fue mitigado por los servicios automáticos de Cloudfare , empresa que opera en la ciberseguridad de las infraestructuras y servicios web, que entran en acción en estos casos, monitoreando constantemente la red en busca de posibles problemas. Específicamente, Cloudflare utilizó su propio sistema de protección DDoS de borde autónomo , basado en el demonio de denegación de servicio (dosd) desarrollado internamente por la empresa.
Cloudfare explica el principio operativo de su tecnología de esta manera:
«Una instancia de dosd única se ejecuta en cada servidor de cada uno de nuestros centros de datos en todo el mundo. Cada instancia de dosd analiza de forma independiente muestras de tráfico fuera de ruta. El análisis de tráfico fuera de ruta nos permite escanear búsquedas asincrónicas de ataques DDoS sin generar impactos de latencia y Los resultados de DDoS también se comparten entre varias instancias de DOSD dentro de un centro de datos, como una forma de intercambio proactivo de inteligencia de amenazas.
Una vez que se detecta un ataque, nuestros sistemas generan una regla de mitigación con una firma en tiempo real que coincide con los patrones de ataque. La regla se propaga a la posición más óptima en la pila de tecnología. Por ejemplo, un ataque HTTP DDoS volumétrico se puede bloquear en L4 dentro de las iptables del firewall de Linux en lugar de en L7 dentro del proxy inverso L7 que se ejecuta en el espacio del usuario. Una acción de mitigación más abajo en la pila, p. Ej. soltar paquetes en L4 en lugar de responder con una página de error 403 en L7 es más eficiente ya que reduce el consumo de CPU perimetral y el uso de ancho de banda dentro del centro de datos, lo que nos ayuda a mitigar los ataques de gran en gran escala sin afectar el rendimiento.
Este enfoque autónomo, junto con la escala global y la confiabilidad de nuestra red, nos permite mitigar los ataques que alcanzan el 68% de nuestra tasa promedio por segundo y más, sin requerir ninguna mitigación manual por parte del personal de Cloudflare, ni causar ninguna degradación del rendimiento. «
Este ataque específico, según Cloudfare, fue generado por el resurgimiento de Mirari , una botnet famosa por otros ataques DDOS anteriores. En cuestión de segundos, esta botnet generó alrededor de 330 millones de solicitudes de ataque , a través de unos 20.000 bots repartidos en 125 países diferentes. Cloudfare informó que en el momento del ataque se vio abrumado por un aumento de aproximadamente 17.2 millones de solicitudes HTTP por segundo , una cifra muy cercana a los 25 millones de solicitudes legítimas por segundo manejadas en promedio todos los días por Cloudfare.
Es evidente que una solicitud anómala de este tipo, que representa el 68% del tráfico legítimo gestionado por los servicios de Cloudfare, de no detenerse adecuadamente, habría provocado disrupciones inmediatas y por tanto a un ataque DDOS que podríamos definir como exitoso. Afortunadamente, esto no sucedió y el mal funcionamiento duró el espacio de menos de 30 segundos necesario para que intervinieran los sistemas de protección.