Desde principios de septiembre, los sistemas de protección contra DDoS de Cloudflare han estado combatiendo una campaña de un mes de duración de ataques DDoS hipervolumétricos a las capas 3 y 4. Las soluciones de protección de Cloudflare mitigaron más de cien ataques DDoS hipervolumétricos a las capas 3/4 a lo largo del mes. Muchos de estos ataques superaron los 2000 millones de paquetes por segundo y los 3 terabits por segundo (Tb/s). El mayor ataque alcanzó un máximo de 3,8 Tb/s, el mayor ataque revelado públicamente por una organización. La detección y la mitigación fueron totalmente autónomas. Los gráficos siguientes representan dos ataques distintos dirigidos al mismo cliente de Cloudflare y que se mitigaron de forma autónoma.
Un ataque DDoS mitigado de 3,8 terabits por segundo que duró 65 segundos
Un ataque DDoS mitigado de 2140 millones de paquetes por segundo que duró 60 segundos
Los clientes de Cloudflare están protegidos
Los clientes de Cloudflare que utilizan los servicios de proxy inverso HTTP de Cloudflare (por ejemplo, el WAF de Cloudflare y la CDN de Cloudflare) están protegidos automáticamente.
Los clientes de Cloudflare que utilizan Spectrum y Magic Transit también están protegidos automáticamente. Los clientes de Magic Transit pueden optimizar aún más su protección implementando reglas de Magic Firewall para aplicar un estricto modelo de seguridad positiva y negativa en la capa de paquetes.
Puede que otras propiedades de Internet no estén protegidas
La escala y la frecuencia de estos ataques no tienen precedentes. Debido a su gran tamaño y sus altas velocidades de bits/paquetes por segundo, estos ataques tienen la capacidad de interrumpir tanto las propiedades de Internet desprotegidas como las propiedades de Internet protegidas por equipos locales o por proveedores en la nube que simplemente carecen de la capacidad de red o de la cobertura global necesarias para gestionar estos volúmenes junto con el tráfico legítimo sin afectar al rendimiento.
Sin embargo, Cloudflare tiene la capacidad de red, la cobertura global y los sistemas inteligentes necesarios para absorber y mitigar automáticamente estos enormes ataques.
En esta publicación del blog, revisaremos la campaña de ataques y por qué sus ataques son tan graves. Describiremos la anatomía de un ataque DDoS a la capa 3/4, sus objetivos y cómo se generan los ataques. A continuación, detallaremos cómo los sistemas de Cloudflare fueron capaces de detectar y mitigar de forma autónoma estos enormes ataques sin afectar al rendimiento de nuestros clientes. Describiremos los aspectos clave de nuestras soluciones de protección, desde cómo nuestros sistemas generan firmas en tiempo real (dinámicas) para correlacionar el tráfico de ataque hasta cómo aprovechamos las funciones del kernel para descartar paquetes a velocidad de cable.
Análisis de la campaña
Hemos observado esta campaña de ataques dirigida a varios clientes de los sectores de servicios financieros, Internet y telecomunicaciones, entre otros. Esta campaña de ataques tiene como objetivo saturar el ancho de banda y agotar los recursos de las aplicaciones y los dispositivos en línea.
Los ataques utilizaron principalmente UDP en un puerto fijo. Provenían de todo el mundo, pero la mayor parte de ellos procedían de Vietnam, Rusia, Brasil, España y Estados Unidos.
Los ataques de alta velocidad de paquetes parecen originarse en varios tipos de dispositivos en riesgo, como dispositivos MikroTik, DVR y servidores web, orquestados para trabajar en conjunto e inundar el objetivo con volúmenes de tráfico excepcionalmente grandes. Los ataques de alta velocidad de bits parecen originarse en un gran número de enrutadores domésticos ASUS comprometidos, probablemente explotados mediante una vulnerabilidad CVE 9.8 (crítica) que Censys descubrió recientemente.
Anatomía de los ataques DDoS
Antes de analizar cómo Cloudflare detectó y mitigó automáticamente los mayores ataques DDoS jamás vistos, es importante comprender los conceptos básicos de los ataques DDoS.
Diagrama simplificado de un ataque DDoS
El objetivo de un ataque de denegación de servicio distribuido (DDoS) es denegar a los usuarios legítimos el acceso a un servicio. Para ello, los atacantes agotan los recursos que se necesitan para proporcionar el servicio. En el contexto de estos recientes ataques DDoS a las capas 3/4, ese recurso son los ciclos de CPU y el ancho de banda de la red.
Agotamiento de los ciclos de CPU
El procesamiento de un paquete consume ciclos de CPU. En el caso del tráfico normal (no de ataque), la recepción de un paquete legítimo en un servicio hará que ese servicio realice alguna acción, y distintas acciones requieren distintas cantidades de procesamiento de la CPU. Sin embargo, antes de la entrega de un paquete a un servicio, cada paquete requiere realizar ciertas tareas. Es necesario analizar y procesar los encabezados de los paquetes de la capa 3 para entregar el paquete a la máquina y la interfaz correctas. Los encabezados de los paquetes de la capa 4 deben procesarse y enrutarse al socket correcto (si lo hay). Puede haber varios pasos de procesamiento adicionales que inspeccionen cada paquete. Por lo tanto, si la velocidad de envío de paquetes de un ataque es suficientemente alta, puede potencialmente saturar los recursos de CPU disponibles, por lo que se denegará el servicio a los usuarios legítimos.
Para protegerte contra los ataques de alta velocidad de paquetes, debes poder inspeccionar y descartar los paquetes malos utilizando el menor número posible de ciclos de CPU, dejando suficiente CPU para procesar los paquetes buenos. También tienes la opción de adquirir más CPU, o más rápidas, para realizar el procesamiento, pero ese puede ser un proceso muy largo que conlleva altos costes.
Agotamiento del ancho de banda de la red
El ancho de banda de la red es la cantidad total de datos que se pueden entregar a un servidor cada vez. Puedes pensar en el ancho de banda como un conducto para transportar agua. La cantidad de agua que podemos suministrar a través de una pajita es menor que la que podríamos suministrar a través de una manguera de jardín. Si un atacante es capaz de introducir más datos basura en el conducto de los que este puede entregar, tanto los datos malos como los buenos se descartarán en la parte superior, en la entrada del conducto, y el ataque DDoS habrá logrado su objetivo.
La protección contra los ataques que pueden saturar el ancho de banda de la red puede ser difícil porque es muy poco lo que se puede hacer si se está en la parte inferior del conducto saturado. En realidad, tienes muy pocas opciones: puedes conseguir un conducto más grande, puedes encontrar potencialmente una forma de mover el tráfico bueno a un nuevo conducto que no esté saturado o, con suerte. puedes pedir a la parte superior del conducto que deje de enviar algunos o todos los datos al conducto.
Generación de ataques DDoS
Si pensamos en lo que esto significa desde el punto de vista de los atacantes, te darás cuenta de que existen limitaciones similares. Al igual que se necesitan ciclos de CPU para recibir un paquete, también se necesitan ciclos de CPU para crearlo. Si, por ejemplo, el coste de enviar y recibir un paquete fuera el mismo, el atacante necesitaría la misma cantidad de potencia de CPU para generar el ataque que nosotros para defendernos de él. En la mayoría de los casos, esto no es cierto: hay una asimetría de costes, ya que el atacante es capaz de generar paquetes utilizando menos ciclos de CPU de los que se necesitan para recibir esos paquetes. Sin embargo, cabe señalar que la generación de ataques no es gratuita y puede requerir una gran cantidad de potencia de la CPU.
Saturar el ancho de banda de la red puede ser aún más difícil para un atacante. En este caso, el atacante necesita poder generar más ancho de banda del que ha asignado el servicio de destino. En realidad, necesita poder superar la capacidad del servicio receptor. Esto es tan difícil que la forma más común de lograr un ataque de ancho de banda de red es utilizar un método de ataque de reflexión/amplificación, por ejemplo, un ataque de amplificación de DNS. Estos ataques permiten al atacante enviar un paquete pequeño a un servicio intermedio, y el servicio intermedio enviará un paquete grande a la víctima.
En ambos escenarios, el atacante necesita adquirir u obtener acceso a muchos dispositivos para generar el ataque. Estos dispositivos se pueden adquirir de distintas maneras. Pueden ser máquinas de clase servidor de proveedores de nube o servicios de alojamiento, o pueden ser dispositivos en riesgo como DVR, enrutadores y cámaras web que han sido infectados con el malware del atacante. Estas máquinas juntas forman la botnet.
Cómo Cloudflare protege contra los ataques a gran escala
Ahora que entendemos los fundamentos de cómo funcionan los ataques DDoS, podemos explicar cómo Cloudflare puede proteger contra estos ataques.
Ampliación de la superficie de ataque mediante Anycast global
El primer ingrediente no tan secreto es que la red de Cloudflare se basa en Anycast. En resumen, Anycast permite que varias máquinas de cualquier parte del mundo anuncien una única dirección IP. Un paquete enviado a esa dirección IP lo servirá la máquina más cercana. Esto significa que cuando un atacante utiliza su botnet distribuida para lanzar un ataque, el ataque se recibirá de forma distribuida en toda la red de Cloudflare. Un DVR infectado en Dallas, Texas, enviará paquetes a un servidor de Cloudflare en Dallas. Una cámara web infectada en Londres enviará paquetes a un servidor de Cloudflare en Londres.
Redes Anycast vs Unicast
Además, nuestra red Anycast permite a Cloudflare asignar recursos informáticos y de ancho de banda más cerca de las regiones que más los necesitan. Las regiones densamente pobladas generarán mayores cantidades de tráfico legítimo, y los centros de datos ubicados en esas regiones tendrán más recursos de ancho de banda y de CPU para satisfacer esas necesidades. Las regiones escasamente pobladas generarán naturalmente menos tráfico legítimo, por lo que los centros de datos de Cloudflare en esas regiones se pueden dimensionar adecuadamente. Dado que el tráfico de ataque procede principalmente de dispositivos en riesgo, estos dispositivos tenderán a distribuirse de forma que coincida con los flujos de tráfico normales, enviando el tráfico de ataque de forma proporcional a los centros de datos que puedan gestionarlo. De la misma forma, en el centro de datos el tráfico se distribuye entre varias máquinas.
Además, para los ataques de ancho de banda alto, la red de Cloudflare ofrece otra ventaja. Una gran proporción del tráfico en la red de Cloudflare no consume ancho de banda de forma simétrica. Por ejemplo, una solicitud HTTP para obtener una página web de un sitio detrás de Cloudflare será un paquete entrante relativamente pequeño, pero devolverá una mayor cantidad de tráfico saliente al cliente. Esto significa que la red de Cloudflare tiende a enviar mucho más tráfico legítimo del que recibimos. No obstante, los enlaces de red y el ancho de banda asignado son simétricos, lo que significa que hay mucho ancho de banda de entrada disponible para recibir el tráfico de ataque volumétrico.
Generación de firmas en tiempo real
Cuando llegas a un servidor individual dentro de un centro de datos, el ancho de banda del ataque se ha distribuido lo suficiente como para que ninguno de los enlaces ascendentes esté saturado. Eso no significa que el ataque se haya detenido por completo, ya que no hemos descartado los paquetes maliciosos. Para ello, debemos obtener una muestra del tráfico, calificar un ataque y crear reglas para bloquear los paquetes maliciosos.
El encargado de obtener una muestra del tráfico y de descartar los paquetes malos es nuestro componente l4drop, que utiliza XDP (eXpress Data Path) y aprovecha una versión ampliada de Berkeley Packet Filter, eBPF (BFP ampliado). Esto nos permite ejecutar código personalizado en el espacio del kernel y procesar (descartar, reenviar o modificar) cada paquete directamente en el nivel de la tarjeta de interfaz de red (NIC). Este componente ayuda al sistema a descartar paquetes de forma eficiente sin consumir excesivos recursos de CPU en la máquina.
Descripción general del sistema de protección contra DDoS de Cloudflare
Utilizamos XDP para muestrear los paquetes y buscar atributos sospechosos que indiquen un ataque. Las muestras incluyen campos como la dirección IP de origen, el puerto de origen, la dirección IP de destino, el puerto de destino, el protocolo, los indicadores TCP, el número de secuencia, las opciones, la velocidad de paquetes y más. Este análisis lo realiza el daemon de denegación de servicio (dosd). Dosd es nuestro ingrediente secreto. Tiene muchos filtros que le indican, en función de nuestra heurística seleccionada, cuándo iniciar la mitigación. Para nuestros clientes, estos filtros se agrupan lógicamente por vectores de ataque y se exponen como reglas administradas de DDoS. Nuestros clientes pueden personalizar su comportamiento en cierta medida, según sea necesario.
Conforme recibe muestras de XDP, dosd generará múltiples permutaciones de huellas digitales para detectar patrones de tráfico sospechosos. A continuación, mediante un algoritmo de transmisión de datos, dosd identificará las huellas digitales óptimas para mitigar el ataque. Una vez calificado el ataque, dosd insertará una regla de mitigación en línea como un programa eBPF para descartar quirúrgicamente el tráfico de ataque.
dosd realiza la detección y la mitigación de los ataques a nivel de servidor, a nivel de centro de datos y a nivel global, y todo ello definido por el software. Por esta razón, nuestra red es extremadamente resistente y ofrece una mitigación casi instantánea. No hay "centros de depuración" o "dispositivos de depuración" fuera de ruta. En su lugar, cada servidor ejecuta la pila completa del conjunto de productos de Cloudflare, incluido el componente de detección y mitigación de DDoS. Todo se hace de forma autónoma. Cada servidor también realiza la transmisión (multidifusión) de las instrucciones de mitigación dentro de un centro de datos entre servidores, y globalmente entre centros de datos. Esto garantiza que, ya sea un ataque localizado o distribuido globalmente, dosd ya habrá instalado reglas de mitigación en línea para garantizar una mitigación eficaz.
Protección eficaz contra los ataques de gran envergadura
Nuestros sistemas de detección y mitigación de DDoS, autónomos y definidos por software, se ejecutan en toda nuestra red. En esta publicación nos hemos centrado principalmente en nuestras capacidades de huellas digitales dinámicas, pero nuestros recursos de protección van mucho más allá. El sistema de protección TCP avanzada y el sistema de protección DNS avanzada funcionan junto con nuestra huella digital dinámica para identificar los ataques DDoS sofisticados y altamente aleatorios basados en TCP y también aprovechan el análisis estadístico para impedir los ataques DDoS complejos basados en DNS. Nuestras soluciones de protección también incorporan información sobre amenazas en tiempo real, perfiles de tráfico y clasificación de aprendizaje automático como parte de nuestra protección adaptable contra DDoS para la mitigación de las anomalías de tráfico.
Combinados, estos sistemas, junto con toda la cartera de soluciones de seguridad de Cloudflare, se han desarrollado sobre la red de Cloudflare, una de las redes más grandes del mundo, para garantizar la protección de nuestros clientes contra los mayores ataques del mundo.