Cloudflare publicó un informe de un ataque DDOS masivo, nombrando varios centros de datos de hospedaje en la nube conocidos como los orígenes del ataque. El ataque pareció seguir una tendencia de ataques que se lanzan cada vez más desde centros de datos en lugar de las redes de bots residenciales tradicionales.
El ataque fue descrito como uno de los más grandes jamás vistos:
“A principios de este mes, los sistemas de Cloudflare detectaron y mitigaron automáticamente un ataque DDoS de 15,3 millones de solicitudes por segundo (rps), uno de los ataques DDoS HTTPS más grandes registrados”.
DDoS
Un ataque de denegación de servicio distribuido (DDoS) ocurre cuando miles de dispositivos conectados a Internet realizan solicitudes de página a un ritmo rápido, lo que puede incitar que el servidor del sitio web no pueda procesar las solicitudes de páginas web, una condición conocida como denegación. de servicio.
Los ataques DDOS generalmente provienen de lo que se conoce como botnets.
botnets
Una botnet es una red de dispositivos conectados a Internet como enrutadores, dispositivos IoT, computadoras, sitios web y servidores de hospedaje web que están infectados y puestos bajo el control de piratas informáticos.
Botnets de ISP residenciales para centros de datos basados en la nube
El informe de Cloudflare señaló que los ataques DDOS provienen cada vez más de centros de datos basados en la nube en lugar de botnets de ISP residenciales. Esto representa un cambio de táctica.
Según el informe de ataque DDOS de Cloudflare:
“Lo interesante es que el ataque provino principalmente de los centros de datos. Estamos viendo un gran cambio de los proveedores de servicios de Internet (ISP) de red residencial a los ISP de cómputo en la nube”.
Principales centros de datos en la nube
Cloudflare nombró varios centros de datos basados en la nube como orígenes del ataque, dos de los cuales ya son bien conocidos en la comunidad editorial como fuentes comunes de spam y visitantes de bots no deseados.
Las dos mayores fuentes de este ataque DDOS, según los datos de Cloudflare, fueron OVH y Hetzner.
Cloudflare ofreció estos detalles:
“…el ataque se originó en más de 1300 redes diferentes. Las principales redes incluyeron al proveedor alemán Hetzner Online GmbH (Número de sistema autónomo 24940), Azteca Comunicaciones Colombia (ASN 262186), OVH en Francia (ASN 16276), así como otros proveedores de nube”.
OVH y Hetzner como fuentes de spam
Además de ser el origen de los ataques DDOS, se sabe que OVH y Hetzner son fuentes de ataques relacionados con el spam.
Según el servicio de protección contra spam SaaS Datos de CleanTalklos bots de spam con origen en OVH suponen el 10,97 % de la actividad detectada en las direcciones IP asociadas a OVH.
Actividad de spam procedente de Hetzner que fue detectado por CleanTalkde 213.621 direcciones IP detectadas como fuente de tráfico, 14.997 (7,02%) de esas direcciones IP estaban asociadas con ataques de spam.
Si bien los ataques DDOS y spam son dos cosas diferentes, estas estadísticas se citan para mostrar cómo ambos centros de datos en la nube se utilizan para una variedad de actividades maliciosas, no solo para ataques DDOS.
Un editor en WebmasterWorld Forum observó recientemente que estaban experimentando tráfico de bots de OVH que era mayor que el tráfico humano legítimo de ISP conocidos.
El miembro de WebmasterWorld escribió en una publicación del foro:
“Durante los últimos 24 meses, el servidor web registra una docena de sitios web que administro y tienen un alto porcentaje de tráfico proveniente del centro de datos de OVH.
Este tráfico llega a través de numerosas direcciones IP asignadas a OVH. Dado que el volumen de tráfico es considerablemente mayor que el tráfico procedente de ISP legítimos (ATT, Verizon, Charter, Comcast, Shaw, etc.), tengo la impresión de que el tráfico de OVH se debe a bots/scrapers alojados en el centro de datos de OVH. servidores en la nube”.
El tráfico de bots no deseados de OVH es un problema tan común que cuando un centro de datos de OVH en Francia quemó un Miembro de WebmasterWorld prácticamente aplaudió el evento publicando:
«Mirando el lado positivo, nuestros sitios web tendrán menos tráfico de bots ahora».
La pregunta que tal vez necesita hacerse es, ¿Por qué hay tanto tráfico de bots maliciosos provenientes de OVH y Hetzner?
Esto tampoco es algo nuevo. Las quejas de webmasters y editores sobre el tráfico de bots de OVH se remontan a mucho tiempo atrás.
Estos son ejemplos de discusiones en WebmasterWorld que involucran a OVH:
Los anteriores son debates en foros que se remontan a 2013, en los que editores y webmasters se quejan del tráfico de bots no autorizados de OVH.
En una discusión del foro WebmasterWorld de 2015 titulada Fuentes de Botnet, un miembro del foro publicó:
“RE: botnets, me preocupan más aquellos que hacen clics falsos en mis anunciantes (alojados, de terceros y de AdSense).
Sin embargo, estoy seguro de que hay una combinación significativa de ambas categorías, por lo que los artículos vinculados de Spamhaus son una buena lectura, gracias. ¡Pequeña sorpresa que OVH lidere el grupo!”
Dada la larga historia de tráfico de bots no deseados de OVH y Hetzner, no es del todo increíble ver que ahora Cloudflare los cita como orígenes de un ataque DDOS.
OVH y Hetzner, origen de bots y ataques DDOS
Está bien documentado por los servicios de bloqueo de spam de Saas que OVH y Hetzner son fuentes de spam. Ahora tenemos documentación de Cloudflare de que los servicios de hospedaje en la nube de OVH y Hetzner sirven como origen de los ataques DDOS.
Cloudflare identificó los ataques como provenientes de una botnet en esos hosts en la nube. Entonces eso puede significar que varios servidores fueron comprometidos.
Citación
Lea el informe de ataques DDOS de Cloudflare
Consultar el artículo en la publicación original
