Amplificación de DNS
Para lograr ese enorme tráfico, que colapsa las redes en Internet afectando de paso a otros servicios, los atacantes utilizaron una táctica conocida como “amplificación de DNS”. Como se sabe, los servidores DNS son los directorios que traducen un nombre de dominio, como fayerwayer.com a una dirección IP como 54.243.163.47. Los servidores DNS también reciben peticiones para encontrar a determinados dominios. Cuando un servidor abierto recibe una solicitud para un dominio para el cual no tiene autoridad, escala la petición al servidor raíz, para intentar encontrar la dirección del servidor DNS al que se le puede realizar la petición. La solicitud puede dar varios saltos por diferentes servidores hasta llegar al origen. Los atacantes aprovechan este comportamiento del servidor DNS para falsificar una solicitud, usando como dirección de origen la IP del sitio al que quieren atacar. De este modo, todos los servidores DNS a los que se les envíe la consulta falsificada, responderán contactando a la IP que aparece en los datos, amplificando el ataque e inundando con solicitudes a un sitio específico. A través de este ataque, una solicitud que necesita muy poco ancho de banda para enviarse, se magnifica múltiples veces aumentando el tráfico hasta 70 veces al sitio que se está atacando. De esta manera, Spamhaus comenzó a recibir paquetes basura desde servidores DNS en todo el mundo. Este tipo de ataques no se puede detener fácilmente, porque no puedes simplemente apagar un servidor de DNS – si lo haces, parte de Internet se queda sin funcionar. Esas máquinas deben estar abiertas públicamente para que Internet funcione, de modo que la única manera de detener el ataque es detener a las personas que lo lanzan. El CEO de Spamhaus, Steve Linford, declaró a la BBC que el ataque se ha mantenido por más de una semana, aunque parte ya se pudo controlar gracias a la ayuda a Cloudflare, que explicó algunos detalles del ataque en un post. Esta vulnerabilidad de los servidores DNS lleva mucho tiempo de existencia, pero hasta ahora no había sido explotada tan masivamente. Así, si bien el ataque comenzó hace más de una semana y la organización logró superar el shock inicial para continuar funcionando, el DDoS sigue adelante y no está claro cuándo irá a detenerse. De todos modos, se pone en relevancia una vulnerabilidad que necesita ser reparada para evitar que se repita. Fuentes:- Online dispute becomes internet-snarling attack (NYTimes)
- Global internet slows after “biggest attack in history” (BBC)
- How whitehats stopped the DDoS attack that knocked Spamhaus offline (Ars Technica)