Ataques DDoS visam a infraestrutura Amazon, SoftLayer e Telecom – TCP

Ataques DDoS visam a infraestrutura Amazon, SoftLayer e Telecom – TCP

13 de novembro de 2019 0 Por Suporte Rede Digital

O tipo específico de ataque TCP usado nos recentes esforços de DDoS foram os ataques de reflexão TCP SYN-ACK.

Nos últimos 30 dias, houve um aumento renovado da atividade de negação de serviço distribuída (DDoS), de acordo com pesquisadores, que disseram ter observado várias campanhas criminais montando ataques DDoS de reflexão TCP contra empresas.

Pesquisadores da Radware disseram que a lista de vítimas inclui várias grandes empresas, incluindo Amazon, SoftLayer, subsidiária da IBM, Eurobet Italia SRL, Korea Telecom, HZ Hosting e SK Broadband.

O primeiro grande evento em outubro derrubou a rede Eurobet. O Eurobet, um site de apostas esportivas on-line, sofreu uma campanha que persistiu por dias e impactou várias outras redes de apostas, de acordo com a Radware.

Então, no final de outubro, em meio a uma enxurrada de ataques DDoS contra empresas em quase todas as verticais ao redor do mundo, a empresa identificou outra campanha de múltiplos vetores em larga escala que visava o setor financeiro e de telecomunicações na Itália, Coréia do Sul e Turquia.

“Esse ataque foi percebido pela comunidade de segurança devido à natureza reflexiva de um dos vetores de ataque”, observaram os pesquisadores. “Em um período de 24 horas, milhões de pacotes TCP-SYN de quase 7.000 endereços IP de origem distintos, parte da [infraestrutura do provedor turco] Garanti Bilisim Teknolojisi e Ticaret TR.AS, foram detectados globalmente e direcionando especificamente as portas 22, 25, 53 , 80 e 443. “

A atividade é uma continuação de um aumento nos invasores que alavancam os ataques de reflexão TCP iniciados em 2018, de acordo com a empresa. Estas tendem a ser de baixa largura de banda, mas que geram packet taxas elevadas (maiores volumes de maços por segundo) que requerem grandes quantidades de recursos de dispositivos de rede para processar as interrupções de tráfico e causa. É por isso que grandes redes corporativas e de telecomunicações geralmente são alvos, explicaram os pesquisadores da Radware.

O tipo específico de ataque TCP usado nos recentes esforços de DDoS foram os ataques de reflexão TCP SYN-ACK . Nesse cenário, um invasor envia um pacote SYN falsificado, com o IP de origem original substituído pelo endereço IP da vítima, para um intervalo de endereços IP de reflexão aleatórios ou pré-selecionados. Os serviços na reflexão abordam a resposta com um pacote SYN-ACK à vítima do ataque falsificado. Se a vítima não responder, o serviço de reflexão continuará retransmitindo o pacote SYN-ACK, resultando em amplificação. A quantidade de amplificação depende do número de retransmissões SYN-ACK pelo serviço de reflexão, que pode ser definido pelo invasor.

A maioria das redes alvo não respondeu adequadamente às solicitações falsificadas, o que teria desativado a amplificação de retransmissão TCP, de acordo com a análise.

A faixa de impacto desses tipos de campanhas é significativa, de acordo com a Radware, degradando o serviço nas redes segmentadas e as redes de reflexão em todo o mundo.

“Não apenas as vítimas visadas, que geralmente são empresas grandes e bem protegidas, precisam lidar com inundações de tráfego TCP, mas refletores selecionados aleatoriamente, que vão de pequenas empresas a proprietários de casas, precisam processar as solicitações falsas e possíveis respostas legítimas de o alvo do ataque ”, escreveram os pesquisadores em um post recente . “Aqueles que não estão preparados para esses tipos de picos no tráfego sofrem com interrupções secundárias, com as inundações SYN um dos efeitos colaterais percebidos pelas vítimas colaterais.”

Nos ataques de reflexão de TCP mais recentes, a análise forense da empresa mostrou que os atacantes utilizavam grande parte do espaço de endereços IPv4 da Internet como refletores, com uma fonte falsificada originada em bots ou servidores hospedados em sub-redes e sem verificação de endereço de origem IP.

A atividade de 2019 segue uma queda de 11% no número de ataques DDoS no quarto trimestre de 2018, após a repressão do FBI em 15 sites DDoS por aluguel.