El gigante de Internet Cloudflare a menudo opera en las sombras, o mejor dicho, no de forma directa con el usuario de Internet. Al ser una empresa de infraestructura de Internet, opera para otras compañías gestionando las conexiones a servidores y páginas web. Sin embargo, su trabajo es más importante de lo que parece, consigue por ejemplo mitigar el que se ha reportado como el ataque DDoS más grande de la historia.
El ataque tuvo lugar el mes pasado y el objetivo era uno de los clientes de Cloudflare que opera en la industria financiera y que no ha sido revelado. Como cualquier otro ataque DDoS, el atacante utilizó un gran número de dispositivos para hacer peticiones HTTP a la red de la víctima con tal de abarrotar el servidor y conseguir tumbarlo.
No fue un ataque DDoS de ancho de banda sino uno volumétrico. Estos se diferencian en que buscan enviar todas las solicitudes HTTP posibles para consumir la CPU y RAM del servidor, consiguiendo así que el servidor directamente no opere. En los ataques DDoS por ancho de banda se busca obstruir el ancho de banda de la conexión a Internet para ralentizar o a veces bloquear la conexión.
20.000 dispositivos infectados con una versión de Mirai
El ataque reportado por Cloudflare fue de alrededor de 20.000 dispositivos infectados que arrojaban solicitudes HTTP. En total consiguieron un máximo de 17,2 millones de solicitudes HTTP/segundo. Es una cifra espectacularmente alta, tres veces mayor que el récord anterior reportado.
Para poner este ataque en contexto, Cloudflare dice que en su último trimestre tuvo de media un total de 25 millones de solicitudes HTTP/segundo legítimas en todo el mundo. Las 17,2 millones del ataque supusieron un "trabajo extra" del 68% sobre lo que generalmente opera Cloudflare.
¿De dónde vinieron? Según las IPs de los dispositivos que enviaban las solicitudes, casi un 15% eran de Indonesia, casi un 10% de India y algo más del 7% de Brasil en el TOP 3 de países. Cloudflare cree que se trata de dispositivos infectados por el malware Mirai, o una versión modificada de este.
Mirai es un malware descubierto por primera vez en 2016. Se propaga infectando dispositivos basados en Linux y que generalmente son IoT. Por ejemplo, infecta cámaras de seguridad, routers o hasta bombillas inteligentes. Tiene la peculiaridad de propagarse sólo gracias al uso de credenciales por defecto.
Un año atrás Amazon AWS reveló otro trepidante ataque DDoS de ancho de banda en esta ocasión. El ataque que dijeron haber mitigado consiguió un pico de tráfico de 2,3 Tbps. Una barbaridad que, una vez más, fue frenada antes de que llegase a los usuarios de Internet.