El servidor de Internet Dyn, que el viernes pasado sufrió un ataque DDoS que interrumpió el funcionamiento de grandes sitios de Internet como Twitter, Reddit y Spotify, ha publicado información que aclara algunos detalles sobre el ataque y sus atacantes.
Ante la gran magnitud del ataque, el primer impulso de Dyn fue sospechar que había sido realizado por ciberatacantes con respaldo gubernamental. Sin embargo, las investigaciones posteriores de Dyn realizadas con la ayuda de la empresa de seguridad FlashPoint revelaron que el ataque fue lanzado por cibercriminales sin grandes recursos ni conocimientos técnicos avanzados.
Aunque al principio Dyn declaró que el ataque había sido realizado por una red zombi de decenas de millones de equipos, las investigaciones posteriores indican que en realidad fueron cientos de miles de dispositivos comprometidos del Internet de las Cosas como cámaras web y routers. Los dispositivos forman parte de la red zombi Mirai, que durante los últimos meses ha estado ganando notoriedad por sus ataques a sitios como el del experto en seguridad Brian Krebs. El código de Mirai se hizo público a finales del mes pasado y ahora está a disposición de cualquier ciberatacante que quiera usarlo.
Dyn explicó que los atacantes inundaron sus servidores con tráfico TCP y UDP en el puerto 53. Los informes iniciales calcularon que el ataque se realizó a 1,3 Tbps, pero todavía no se ha confirmado con exactitud cuál fue la magnitud del ataque.
La compañía explicó cómo fue posible que una red zombi tan pequeña causara tanto daño y por qué los cálculos de su magnitud actuales difieren tanto de los iniciales: “Durante un DDoS que emplea el protocolo DNS puede ser difícil distinguir entre el tráfico legítimo y el del ataque. Por ejemplo, el ataque probocó una oleada de intentos adicionales de conexión legítimos cuando los servidores afectados intentaban reiniciar sus cachés, lo que generó un volumen de tráfico entre 10 a 20 veces mayor que el normal desde un gran número de direcciones IP. Cuando sucede este congestionamiento de tráfico DNS, los intentos de reconexión legítimos pueden contribuir al volumen de tráfico (…). Parece que los ataques maliciosos provenía de al menos una red zombi, pero la tormenta de intentos de reconexión hizo que la cantidad de equipos atacantes pareciera mucho mayor de lo que en realidad fue”.
Fuentes
El ataque DDoS que desactivó Twitter fue causado por 100.000 dispositivos IoT de la red zombi Mirai