Aurich Lawson/Getty
En agosto y septiembre, los actores de amenazas desataron los mayores ataques distribuidos de denegación de servicio en la historia de Internet al explotar una vulnerabilidad previamente desconocida en un protocolo técnico clave. A diferencia de otros ataques de día cero de alta gravedad de los últimos años (Heartbleed o log4j, por ejemplo) que provocaron el caos debido a un torrente de exploits indiscriminados, los ataques más recientes, denominados HTTP/2 Rapid Reset, apenas fueron perceptibles para todos excepto para unos pocos elegidos. ingenieros.
HTTP2/Rapid Reset es una técnica novedosa para lanzar DDoS, o ataques distribuidos de denegación de servicio, de una magnitud sin precedentes. No se descubrió hasta que ya estaba siendo explotado para generar DDoS sin precedentes. Un ataque a un cliente que utilizaba la red de entrega de contenidos de Cloudflare alcanzó un máximo de 201 millones de solicitudes por segundo, casi el triple del récord anterior que Cloudflare había visto de 71 millones de rps. Un ataque a un sitio que utiliza la infraestructura de nube de Google alcanzó un máximo de 398 millones de rps, más de 7,5 veces mayor que el récord anterior que registró Google de 46 millones de rps.
Hacer más con menos
Los DDoS que atacaron a Cloudflare provinieron de una red de aproximadamente 20.000 máquinas maliciosas, un número relativamente pequeño en comparación con muchas de las llamadas botnets. El ataque fue aún más impresionante porque, a diferencia de muchos DDoS dirigidos a clientes de Cloudflare, este resultó en errores intermitentes 4xx y 5xx cuando usuarios legítimos intentaron conectarse a algunos sitios web.
«Cloudflare detecta regularmente botnets que son órdenes de magnitud mayores que esto, que comprenden cientos de miles e incluso millones de máquinas», escribió el director de seguridad de Cloudflare, Grant Bourzikas. «Que una botnet relativamente pequeña genere un volumen tan grande de solicitudes, con el potencial de incapacitar casi cualquier servidor o aplicación que admita HTTP/2, subraya cuán amenazadora es esta vulnerabilidad para las redes desprotegidas».
La vulnerabilidad que explota HTTP/2 Rapid Reset reside en HTTP/2, que entró en vigor en 2015 y ha pasado por varias revisiones desde entonces. En comparación con los protocolos HTTP/1 y HTTP/1.1 anteriores, HTTP/2 brindaba la capacidad de que una sola solicitud HTTP transportara 100 o más «transmisiones» que un servidor puede recibir todas a la vez. El rendimiento resultante puede conducir a una utilización casi 100 veces mayor de cada conexión, en comparación con los protocolos HTTP anteriores.
La mayor eficiencia no sólo fue útil para distribuir vídeo, audio y otros tipos de contenido benigno. Los usuarios de DDoS comenzaron a aprovechar HTTP/2 para lanzar ataques de órdenes de magnitud mayores. Hay dos propiedades en el protocolo que permiten estos nuevos DDoS eficientes. Antes de discutirlos, es útil revisar cómo funcionan los ataques DDoS en general y luego pasar a la forma en que funcionaban los protocolos HTTP anteriores a 2.0.
Existen varios tipos de ataques DDoS. Las formas más conocidas son los ataques volumétricos y de protocolo de red. Los ataques volumétricos rellenan las conexiones entrantes a un sitio objetivo con más bits de los que la conexión puede transportar. Esto es similar a enviar más vehículos a una carretera de los que puede acomodar. Al final, el tráfico se paraliza. Hasta el año pasado, el mayor DDoS volumétrico registrado fue de 3,47 terabits por segundo.
Los DDoS de protocolo de red funcionan para abrumar a los enrutadores y otros dispositivos que se encuentran en las capas 3 y 4 de la pila de red. Debido a que funcionan en estas capas de red, se miden en paquetes por segundo. Uno de los mayores ataques de protocolo fue bloqueado por la empresa de seguridad Imperva y alcanzó un máximo de 500 millones de paquetes por segundo.
El tipo de ataque llevado a cabo por HTTP/2 Rapid Reset pertenece a una tercera forma de DDoS conocida como ataques de capa de aplicación. En lugar de intentar saturar la conexión entrante (volumétrica) o agotar la infraestructura de enrutamiento (protocolo de red), los DDOS a nivel de aplicación intentan agotar los recursos informáticos disponibles en la capa 7 de la infraestructura de un objetivo. Las inundaciones en aplicaciones de servidor para HTTP, HTTPS y voz SIP se encuentran entre los medios más comunes para agotar los recursos informáticos de un objetivo.