Una web francesa recibe el mayor ataque DDoS de la historia con casi 400 Gbps de tráfico

CloudFlare, un proveedor de servicios de red para sitios web, ha informado de que ha mitigado un ataque masivo de denegación distribuida de servicio (DDoS) dirigido a una web francesa.

El ataque ha marcado un record por su magnitud, ya que ha alcanzado los casi 400 Gigabits por segundo (Gbps). Arbor Networks, una compañía de seguridad que compite con CloudFlare, ha confirmado también que el ataque ha alcanzado al menos 325 Gbps.

El ataque se ha realizado haciendo uso del protocolo NTP que se utiliza comúnmente para sincronizar la hora de servidores a través de Internet o redes locales. Los ataques DDoS basados en NTP fueron identificados por primera vez a finales de diciembre de 2013 y se han convertido en algo popular.

Estos ataques comienzan por un servidor controlado por el atacante que falsea la dirección IP de origen. El atacante genera un gran número de paquetes UDP con la IP de origen falsa para que parezca que proceden del servidor a atacar. Estos paquetes se envían a los servidores NTP que soportan el comando MONLIST.

MONLIST es un comando NTP bastante inútil que ya no funciona en los nuevos servidores NTP. Este comando obliga a los servidores NTP a devolver una lista de hasta 600  direcciones IP que han accedido al servidor recientemente. La respuesta a una petición MONLIST puede ser hasta 206 veces mayor que la petición. Un atacante con un ancho de banda de 1 Gbps puede provocar teóricamente un ataque DDoS  de 200 Gbps.

En la práctica CloudFare ha averiguado que para generar un tráfico de unos 400 Gbps, el atacante ha utilizado 4.529 servidores NTP en 1.298 redes diferentes (ver imagen que encabeza este artículo).

De media, cada uno de estos servidores ha enviado tráfico a razón de 87 Mbps a la víctima. Sorprendentemente es posible que el atacante utilizase un único servidor para lanzar el ataque, falseando su dirección IP origen.  |  Fuente: ZDNet