La semana pasada, la popular web GitHub, gestionada por Akamai, recibió un ataque DDoS que generó un pico de tráfico de 1.3 Tbps. Este se convirtió en el ataque más brutal jamás realizado, pero “la gloria” le ha durado poco menos de una semana. Ya advertimos que gracias al uso de “memcached reflection”, los ataques DDoS se iban a amplificar en los próximos tiempos. Ahora, conocemos que el nuevo récord de ataque DDoS se ha situado en picos de 1.7 Tbps.
Para entender lo que está sucediendo, debemos explicar brevemente que es eso de Memcached. Básicamente, se trata de una técnica que almacena datos en la caché y reduce la carga generada por los servicios que hacen un uso intensivo de recursos. Al utilizar la memoria RAM, aumenta la velocidad de acceso. Estos sistemas no están pensados para conectarse a Internet, pero la realidad es que hay al menos 50,000 conectados y vulnerables.
Gracias a ellos, se pueden usar como reflector de los ataques con un factor de amplificación de más de 50,000 veces. En su momento, pusimos como ejemplo una solicitud de 203 bytes que puede convertirse fácilmente en una respuesta de 100 MB. De esta forma, se consiguió un brutal ataque DDoS con un pico de 1.3 Tbps.
Nuevo récord de ataque DDoS de 1.7 Tbps en menos de una semana
Pero como ya advertimos en su momento, este no iba a ser el récord por mucho tiempo. El uso de Memcached para hacer ataques DDoS acaba de empezar y no parece que vaya a terminar pronto. Por ello, acabamos de conocer que la compañía Arbor Networks ha registrado un ataque DDoS de 1.7 Tbps que se ha realizado contra uno de sus clientes en los Estados Unidos.
Al aprovechar el puerto 11211 UDP, existen algunas soluciones que se deben poner en marcha más pronto que tarde, aunque como se ha podido constatar por este nuevo ataque, son pocos los que se han puesto manos a la obra por el momento. Por ello, los administradores de sistemas deben tomar una serie de medidas para evitar estos DDoS amplificados con Memcached.
En primer lugar, pueden bloquear el puerto 11211 UDP que es el que utiliza Memcached por defecto en sus conexiones. En segundo lugar, pueden limitar el protocolo UDP y, en tercer lugar, pueden decidir su bloqueo completo en caso de no ser necesario en esa organización en concreto.