Los intercambios de bitcoin son los objetivos favoritos de los ataques globales de DDoS: Informe

Panel: Discrimination and data Ethics (Junio 2019).

Anonim

Imperva Incapsula, un proveedor de servicios basado en la nube, ha publicado un informe completo titulado "Q3 2017 Global DDoS Paisaje de amenaza. "El informe muestra que los operadores de criptomonedas y los intercambios de Bitcoin son los objetivos favoritos de los ataques de denegación de servicio distribuido (DDoS).

Un ataque DDoS se define como un evento DDoS persistente contra el mismo objetivo (por ejemplo, dirección IP o dominio). Un único ataque está precedido por un período silencioso (sin ataque) de al menos 60 minutos y seguido de otro período de silencio de la misma duración o más. Informes previos de Imperva habían considerado explosiones de ataque DDoS separadas por períodos de silencio de 10 minutos, pero luego aumentaron el límite de tiempo de período de silencio a 60 minutos para agregar ataques sucesivos.

Los ataques DDoS pueden ser ataques de capa de red que causan saturación de red al consumir gran parte del ancho de banda disponible o ataques de capa de aplicación que derriban un servidor al consumir gran parte de sus recursos de procesamiento (por ejemplo, CPU o RAM) con un gran número de peticiones; a menudo son facilitados por botnets DDoS. Los robots DDoS a menudo se disfrazan de navegadores (visitantes humanos) o robots legítimos (por ejemplo, rastreadores de motores de búsqueda) para eludir las medidas de seguridad.

El informe de Imperva se basa en datos de 3, 920 capas de red y 1, 755 ataques DDoS de capa de aplicación en sitios web que utilizan los servicios de Invapsula de Imperva desde el 1 de julio de 2017 hasta el 30 de septiembre de 2017. La información sobre botnets DDoS datos de 37. 4 mil millones de solicitudes de ataques DDoS recopiladas durante el mismo período.

Los ataques DDoS de la capa de red se miden en Mpps (millones de paquetes por segundo) y Gbps (gigabits por segundo), que indican, respectivamente, la velocidad a la que se entregan los paquetes y la carga total en una red. El cinco por ciento de los ataques de la capa de red alcanzó los 50 Mpps, mientras que el mayor alcanzó los 238 Mpps.

Los ataques DDoS de la capa de aplicación se miden en RPS (solicitudes por segundo) y el impacto general también depende de la cantidad de carga de trabajo que una única solicitud puede forzar en un servidor de destino. La principal diferencia entre los dos tipos de ataques DDoS es que uno se dirigirá a las conexiones de red y el otro se dirigirá a los recursos informáticos; cada uno requiere un conjunto diferente de métodos de seguridad para la mitigación de riesgos.

El informe señaló que la industria de criptomonedas continúa siendo un objetivo frecuente de ataques DDoS, más que muchas industrias más grandes. De hecho, tres de cada cuatro sitios de bitcoin fueron atacados en el tercer trimestre de 2017.

"[Nosotros] vimos ataques dirigidos a un número relativamente alto de intercambios y servicios de criptomonedas", afirma el informe. "Esto probablemente se relacionó con un aumento reciente en el precio de bitcoin, que más que duplicó en el lapso del trimestre. En general, más del 73% de todos los sitios de bitcoin que utilizan nuestros servicios fueron atacados este trimestre, lo que la convierte en una de las industrias más específicas, a pesar de su tamaño relativamente pequeño y su presencia en la web."

Otros sectores a los que con frecuencia se dirigen los ataques DDoS son los proveedores de servicios de Internet y los operadores de juego y juegos en línea.

Para los ataques DDoS en la capa de red, los EE. UU., China, Hong Kong y las Filipinas se encuentran entre los primeros cinco países, en términos de cantidad de ataques recibidos y número de objetivos. Alemania también es atacada con frecuencia, con 12. 8 por ciento del número total de ataques DDoS.

Hong Kong solo tenía el 5,1 por ciento de los objetivos, pero fue blanco de casi un tercio de todos los ataques de la capa de red en el tercer trimestre de 2017. Esto se debió en gran parte a una campaña a gran escala contra un proveedor de servicios de alojamiento local que recibió más de 700 veces durante el trimestre.

Para los ataques DDoS de capa de aplicación, EE. UU. Tuvo el mayor número de ataques y el mayor número de objetivos, con los Países Bajos en un segundo distante. El mayor ataque de la capa de aplicaciones se dirigió a una empresa de servicios financieros con sede en Europa, que fue atacada varias veces. El resto de la lista incluye países desarrollados con mercados digitales maduros, como Singapur, Japón y Australia.

Identificar el origen de los bots DDoS es difícil porque la práctica de falsificar una IP de origen - llamada suplantación de IP - puede hacer que los datos geográficos de IP recopilados durante los ataques DDoS no sean confiables. Sin embargo, la suplantación de IP solo es posible para ataques de capa de red, ya que las conexiones TCP completas deben establecerse antes de enviar solicitudes en los ataques de la capa de aplicación. Por lo tanto, solo los datos de los ataques de la capa de aplicación se usaron para identificar la ubicación del bot.

En el 3T de 2017, el 17 por ciento del tráfico de botnets se originó en China, lo que representa una caída significativa respecto del trimestre anterior, cuando China fue la fuente del 63 por ciento del tráfico de botnets. Turquía y la India van en aumento y representan el 7, 2 y el 4 por ciento del tráfico de botnets, respectivamente. China sigue siendo la principal ubicación de dispositivos de ataque con más del 40 por ciento del total.

El tráfico de ataque de la capa de aplicaciones generado por bots que puede eludir los desafíos de las cookies aumentó a 6. 4 por ciento en el 3T 2017 desde 2. 1 por ciento en el trimestre anterior. De estos robots, el 1. 8 por ciento también pudieron analizar JavaScript, un aumento del 1. 4 por ciento en el segundo trimestre de 2017.