Un ataque DDOS (de denegación de servicio) es la manera más sencilla y bruta de echar abajo un servidor y todos los servicios que ofrece, como por ejemplo, una página web. Consiste en “ahogar” el sistema realizando una absurda cantidad de peticiones al servidor, de tal manera que sea incapaz de responder a las peticiones legítimas.

Si no se cuenta con la protección adecuada, un ataque DDOS suele terminar con el servidor caído; para el usuario, esto se traduce en páginas caídas o servicios inaccesibles. En cambio, si eres Github, aparentemente eres capaz de aguantar lo que te echen casi sin despeinarte.

El mayor ataque DDOS registrado pasó sin afectar a los usuarios

Ocurrió el pasado miércoles 28 de febrero, aproximadamente a las 6:15 hora de Madrid; en aquel momento, algunos usuarios empezaron a notar que Github, la web de alojamiento de proyectos y aplicaciones, iba algo lenta. Por momentos estuvo inaccesible, poco a poco la situación mejoró y en unos minutos la web volvió a la normalidad.

Parecía un problema temporal del servidor, y la mayoría no le dio importancia, ya que es algo que suele ocurrir en Internet. Lo que nadie sabía por aquel entonces es que se había librado la mayor batalla contra un DDOS de la que se tiene constancia.

github 1

El ataque llegó de manera repentina, e inicialmente los servidores tuvieron problemas para mantenerse en pie. Diez minutos después, la situación era crítica y se llamó automáticamente al servicio de mitigación de DDOS, Akamai Prolexic.

Este servicio funciona como un intermediario, recibiendo todo el tráfico dirigido a los servidores de Github, analizándolo y depurándolo; es capaz de detectar los paquetes maliciosos, que sólo tienen como objetivo ralentizar el servidor, y detenerlos. De esta manera, sólo deberían llegar las conexiones de usuarios legítimos; es gracias a esto que la web y el servicio siguieron accesibles, aunque con dificultades.

1,35 Tbps, un ataque devastador

Ocho largos minutos después, los atacantes se dieron cuenta de que estaban chocando contra un muro, y desaparecieron tan rápido como habían aparecido.

ddos akamai 1

En los momentos más difíciles, los servidores recibieron nada menos que 1,35 terabits por segundo; esa es una transferencia de nada menos que 125 GB por segundo, que dejaría “seca” cualquier conexión.

En Akamai presumen que su sistema está diseñado para soportar ataques cinco veces mayores, y estaban confiados de soportar 1,3 Tb; sin embargo, también confiesan que nunca habían recibido 1,5 Tbps. Una cosa es tener la confianza, y otra que todo vaya como te gustaría.

El nuevo tipo de ataque DDOS que permite transferencias nunca vistas

Un detalle interesante del ataque es que los atacantes consiguieron un golpe semejante sin necesidad de controlar una botnet; normalmente los atacantes usan ordenadores “zombies”, infectados con malware, que realizan conexiones al servidor víctima cuando se les ordena.

servidor google data centers

En cambio, este ataque uso servidores “memcached”, sistemas distribuidos de memoria caché que se usan de manera interna por empresas e instituciones, y que no deberían ser accesibles por Internet. Sin embargo, se calcula que aproximadamente 100.000 de estos servidores están mal configurados y los atacantes pueden aprovecharse de ellos a través de Internet.

El método es muy simple: envían una petición al servidor memcached con la dirección IP de la víctima, y el servidor automáticamente responde a esa dirección IP. Como estos servidores son más potentes y usan mejores redes que un ordenador zombie, estos ataques pueden ser devastadores. Es sólo uno de los nuevos desafíos a los que se enfrentan compañías como Akamai.

Imagen de portada | Douglas Muth