Omitir navegación

Azure DDoS Protection: tendencias de los ataques DDoS en la segunda mitad de 2021

Publicado el 25 enero, 2022

Product Manager, Azure Networking

Anupam Vij, director principal de administración de productos, y Syed Pasha, ingeniero principal de Redes de Azure, han colaborado en esta entrada de blog.

En la segunda mitad de 2021, el mundo experimentó un nivel de ataques de denegación de servicio distribuidos (DDoS) sin precedentes, tanto por su complejidad como por la frecuencia. El sector de los juegos fue quizá el más afectado, ya que los ataques DDoS interrumpieron los juegos de Blizzard1, Titanfall2, Escape from Tarkov3, Dead by Daylight4 y Final Fantasy 145, entre otros muchos. Los proveedores de servicios de voz sobre IP (VoIP), como Bandwidth.com6, VoIP Unlimited7 y VoIP.ms8 sufrieron interrupciones tras recibir ataques DDoS en los que les pedían un rescate. En India, vimos que los ataques DDoS se multiplicaron por treinta durante la fiesta nacional de octubre9, donde varios proveedores de banda ancha fueron el objetivo. Esto demuestra que las vacaciones son realmente un período interesante para los ciberdelincuentes. Como ya mencionamos en el informe sobre defensa digital de Microsoft de 2021, la disponibilidad de servicios de DDoS para alquilar junto con el bajo costo (unos 300 USD al mes) hacen que sea extremadamente fácil para cualquier persona llevar a cabo ataques DDoS dirigidos a objetivos específicos.

En Microsoft, a pesar de los desafíos en constante evolución en el panorama cibernético, el equipo de Azure DDoS Protection ha podido mitigar satisfactoriamente algunos de los mayores ataques DDoS, tanto en Azure como en el transcurso de la historia. En esta revisión, comentamos las tendencias y los detalles de los ataques DDoS que hemos observado y mitigado durante la segunda mitad de 2021.

Agosto registró el mayor número de ataques

Microsoft mitigó un promedio de 1955 ataques al día, es decir, un 40 % más con respecto a la primera mitad de 2021. El número máximo de ataques registrados en un día fue de 4296 ataques el 10 de agosto de 2021. En total, hemos mitigado más de 359 713 ataques únicos contra nuestra infraestructura global durante la segunda mitad de 2021, un 43 % más que en la primera mitad de 2021.

Es curioso que no hubo tantos ataques durante las fiestas navideñas como en años anteriores. Hubo más ataques en el tercer trimestre que en el cuarto, la mayoría de ellos en agosto, lo que puede indicar un cambio y que los atacantes ahora actúan todo el año: el período navideño ya no es la consabida temporada de los ataques DDoS. Esto destaca la importancia de protegerse contra los ataques DDoS durante todo el año, no solo durante las épocas en las que aumenta el tráfico.

Gráfico de líneas que muestra el número de ataques DDoS desde julio de 2021 hasta enero de 2022.

Microsoft mitigó un ataque de 3,47 Tbps y otros dos ataques de más de 2,5 Tbps

El pasado mes de octubre, Microsoft notificó un ataque DDoS de 2,4 terabits por segundo (Tbps) en Azure que se mitigó satisfactoriamente. Desde entonces, hemos mitigado tres ataques más grandes.

En noviembre, Microsoft mitigó un ataque DDoS con una capacidad de procesamiento de 3,47 Tbps y una tasa de 340 millones de paquetes por segundo (pps), dirigido a un cliente de Azure en Asia. Creemos que es el mayor ataque que se ha notificado en la historia.

Fue un ataque distribuido con, aproximadamente, 10 000 orígenes en varios países de todo el mundo, incluidos Estados Unidos, China, Corea del Sur, Rusia, Rusia, Tailandia, India, Vietnam, Irán, Indonesia y Taiwán. Los vectores de ataque fueron la reflexión UDP en el puerto 80 mediante el Protocolo simple de detección de servicios (SSDP), el Protocolo ligero de acceso a directorios (CLDAP) sin conexión, el Sistema de nombres de dominio (DNS) y el Protocolo de tiempo de red (NTP) en un único pico, y el ataque total duró unos 15 minutos.

Gráfico de líneas que muestra cómo se mitigó un ataque DDoS de 3,47 Tbps en dos minutos.

En diciembre, mitigamos dos ataques más que superaron los 2,5 Tbps, de nuevo, los dos en Asia. Uno fue un ataque mediante UDP de 3,25 Tbps en Asia en los puertos 80 y 443, que duró más de 15 minutos con cuatro picos principales, el primero a 3,25 Tbps, el segundo a 2,54 Tbps, el tercero a 0,59 Tbps y el cuarto a 1,25 Tbps. El otro ataque fue un ataque “flood” de congestión del servidor mediante UDP a 2,55 Tbps en el puerto 443 con un solo pico, y el ataque total duró poco más de cinco minutos.

Gráfico de líneas que muestra cómo se mitigó un ataque DDoS de 3,25 Tbps en menos de quince minutos.

Gráfico de líneas que muestra cómo se mitigó un ataque DDoS de 2,55 Tbps en dos minutos.

En estos casos, nuestros clientes no tienen que preocuparse por cómo proteger sus cargas de trabajo en Azure, a diferencia de lo que ocurre si las ejecutan en el entorno local. La plataforma de Azure DDoS Protection, basada en canalizaciones de detección y mitigación de ataques DDoS distribuidos, puede escalarse muchísimo para absorber el mayor volumen de ataques DDoS, lo que proporciona a nuestros clientes el nivel de protección que necesitan. El servicio supervisa continuamente nuestra infraestructura en muchos puntos de la red global de Microsoft para detectar y mitigar con rapidez los ataques de gran tamaño. El tráfico se limpia en el perímetro de la red de Azure antes de que pueda afectar a la disponibilidad de los servicios. Si detectamos que el volumen de ataques es importante, aprovechamos la escala mundial de Azure para luchar con el ataque en su origen.

Los ataques de ráfagas cortas y multivectoriales siguen siendo frecuentes, aunque más ataques están durando más tiempo

Al igual que en la primera mitad de 2021, la mayoría de los ataques fueron de corta duración, aunque, en la segunda mitad de 2021, la proporción de ataques que duraron 30 minutos o menos disminuyó del 74 % al 57 %. Vimos un aumento (más del doble) de los ataques que duraron más de una hora, que pasaron de un 13 % a un 27 %. Los ataques multivectoriales siguen siendo frecuentes.

Es importante tener en cuenta que, en los ataques más largos, los clientes suelen experimentar cada ataque como una secuencia de varios ataques de ráfagas cortas repetidas. Uno de estos ejemplos es el ataque de 3,25 Tbps que mitigamos, que fue la suma de cuatro ráfagas seguidas de corta duración, donde cada una de ellas aumentó en unos segundos a volúmenes de terabits.

Gráfico de barras que muestra el desglose de la duración de los ataques en horas y minutos en la segunda mitad del año frente a la primera mitad.

Ataques “flood” de congestión del servidor con suplantación de identidad (spoofing) mediante UDP dominados, dirigidos a la industria de los juegos

Los ataques mediante UDP subieron al vector superior en la segunda mitad de 2021 al convertirse en el 55 % de los ataques, lo que supuso un aumento del 16 % respecto a la primera mitad de 2021. Mientras tanto, los ataques mediante TCP disminuyeron del 54 % a tan solo el 19 %. Los ataques “flood” de congestión del servidor con suplantación de identidad (spoofing) mediante UDP fueron el tipo de ataque más común (55 %), seguidos de los ataques “flood” de congestión del servidor mediante TCP ACK (14 %) y los ataques de amplificación de DNS (6 %).

Gráfico circular que muestra el desglose de la distribución de los vectores de ataque.

Los juegos siguen siendo el sector más afectado. La industria de los juegos ha sido siempre objetivo de numerosos ataques DDoS, ya que los jugadores suelen estar dispuestos a casi cualquier cosa con tal de ganar. Sin embargo, vemos una gama más amplia de sectores que son igual de susceptibles, ya que hemos observado un aumento de los ataques en sectores como las instituciones financieras, los medios de comunicación, los proveedores de servicios de Internet (ISP), el comercio minorista y la cadena de suministro. Especialmente durante las vacaciones, los ISP proporcionan servicios críticos que potencian los servicios de teléfono por Internet, los juegos en línea y el streaming multimedia, lo que los convierte en un objetivo muy atractivo para los atacantes.

El protocolo UDP se usa habitualmente en aplicaciones de streaming y juegos. La mayoría de los ataques en la industria de los juegos han sido mutaciones de la red de robots (botnet) Mirai y ataques mediante el protocolo UDP de bajo volumen. Una mayoría aplastante fueron ataques “flood” de congestión del servidor con suplantación de identidad (spoofing) mediante UDP, mientras que una pequeña parte fueron ataques de reflexión y amplificación UDP, principalmente SSDP, Memcached y NTP.

Las cargas de trabajo que son muy sensibles a la latencia, como los servidores de juegos multijugador, no pueden tolerar ataques mediante UDP de ráfagas cortas. Interrupciones de solo un par de segundos pueden afectar a partidas de competición, e interrupciones que duren más de 10 segundos suelen terminar una partida. Para estos casos, el equipo de Azure lanzó recientemente la versión preliminar de la protección contra ataques DDoS integrada, que se ofrece a través de dispositivos de red virtuales (NVA) de asociados que se implementan con Azure Gateway Load Balancer. Esta solución se puede ajustar a la forma específica del tráfico y puede mitigar los ataques de forma instantánea sin afectar a la disponibilidad ni al rendimiento de las aplicaciones que son muy sensibles a la latencia.

Aumento enorme de los ataques DDoS en la India, el este de Asia sigue siendo popular entre los atacantes

Estados Unidos sigue siendo el objetivo más atacado (54 %). Hemos observado un fuerte aumento de los ataques en la India, desde solo el 2 % de todos los ataques en la primera mitad de 2021 hasta ponerse en segunda posición con el 23 % de todos los ataques en la segunda mitad de 2021. El este de Asia (Hong Kong) sigue siendo una zona popular entre los atacantes (8 %). Curiosamente, en comparación con otras regiones, hemos observado una disminución de los ataques DDoS en Europa, que ha pasado del 19 % de la primera mitad de 2021 al 6 % en la segunda mitad.

Gráfico circular que muestra el desglose de los destinos de los ataques con Estados Unidos a la cabeza con un 54 %.

La concentración de ataques en Asia se puede explicar en gran medida por la enorme superficie de juegos10, especialmente en China, Japón, Corea del Sur, Hong Kong e India, que seguirá aumentando a medida que la presencia cada vez mayor de smartphones impulse la popularidad de los juegos móviles en Asia. En la India, otro factor determinante puede ser que la aceleración de la transformación digital (por ejemplo, la iniciativa "India digital"11) haya aumentado la exposición global de la región a los riesgos cibernéticos.

Defensa frente a nuevos vectores de ataque

Durante período festivo de octubre a diciembre, impedimos nuevos ataques “flood” de congestión del servidor mediante TCP PUSH-ACK que eran dominantes en la región Este de Asia, concretamente, en Hong Kong, Corea del Sur y Japón. Hemos observado una nueva técnica de manipulación de la opción TCP que usan los atacantes para volcar cargas de gran tamaño. En esta variante del ataque, la longitud de la opción TCP es mayor que el propio encabezado de la opción.

Este ataque se mitigó automáticamente gracias a la lógica avanzada de detección y mitigación de anomalías de paquetes de nuestra plataforma, sin necesidad de intervención y sin que afectara a ningún cliente.

Proteja sus cargas de trabajo frente a los ataques DDoS con Microsoft

Puesto que el mundo avanza hacia una nueva era de digitalización con la expansión del 5G y la IoT, y con más sectores que adoptan estrategias en línea, el aumento de la superficie global en línea significa que la amenaza de los ciberataques seguirá aumentando. Como hemos observado que los ataques DDoS tienen ahora un ritmo desenfrenado incluso durante períodos no festivos, es fundamental que las empresas desarrollen una sólida estrategia de respuesta a los ataques DDoS todo el año y no solo durante el período festivo.

En Microsoft, el equipo de Azure DDoS Protection protege todas las propiedades de Microsoft y toda la infraestructura de Azure. Nuestra idea es proteger todas las cargas de trabajo de Azure orientadas a Internet frente a todos los ataques DDoS conocidos en todos los niveles de la pila de red.

Combine DDoS Protection estándar con Web Application Firewall en Application Gateway para disfrutar de una protección completa

Cuando se combina Web Application Firewall (WAF) en Application Gateway, o un firewall de aplicaciones web de terceros implementado en una red virtual con una dirección IP pública, con DDoS Protection estándar, proporciona una protección completa contra los ataques L3-L7 en recursos web y de API. Esto también funciona si utiliza Azure Front Door junto con WAF en Application Gateway, o si sus recursos de back-end están en el entorno local.

Si tiene servicios de aplicaciones web PaaS que se ejecutan en Azure App Service o Azure SQL Database, puede hospedar las aplicaciones detrás de una instancia de Application Gateway y WAF y habilitar DDoS Protection estándar en la red virtual que contiene Application Gateway y WAF. En este escenario, la propia aplicación web no se expone directamente a la Internet pública y está protegida por WAF en Application Gateway y DDoS Protection estándar. Para minimizar cualquier posible superficie de ataque, también debe configurar la aplicación web para que acepte solo el tráfico de la dirección IP pública de Application Gateway y bloquee los puertos no deseados.

DDoS Protection estándar con Web Application Firewall en Application Gateway

Utilice la protección contra ataques DDoS integrada para las cargas de trabajo sensibles a la latencia

Si tiene cargas de trabajo que son muy sensibles a la latencia y no pueden tolerar ataques DDoS de ráfagas cortas, recientemente lanzamos la versión preliminar de la protección contra ataques DDoS integrada, que se ofrece a través de dispositivos virtuales de red (NVA) de asociados y que se implementan con Azure Gateway Load Balancer. La protección contra ataques DDoS integrada mitiga incluso los ataques DDoS de bajo volumen de ráfagas cortas de forma inmediata, sin que lleguen a afectar a la disponibilidad ni al rendimiento de las aplicaciones que son muy sensibles a la latencia.

Optimice las operaciones de seguridad con Azure Firewall Manager

DDoS Protection estándar se ajusta automáticamente para proteger todas las direcciones IP públicas de las redes virtuales, como las conectadas a una máquina virtual de IaaS, Load Balancer (clásico y estándar), Application Gateway y Azure Firewall Manager. Además de la administración de directivas de Azure Firewall, Azure Firewall Manager, un servicio de administración de seguridad de red, ahora permite administrar DDoS Protection estándar para sus redes virtuales. Al habilitar DDoS Protection estándar en una red virtual, se protegen Azure Firewall y los puntos de conexión expuestos públicamente que residan en la red virtual.

Más información sobre Azure DDoS Protection estándar

•    Página de Azure DDoS Protection estándar.
•    Documentación de Azure DDoS Protection estándar.
•    Arquitecturas de referencia de Azure DDoS Protection estándar.
•    Procedimientos recomendados de DDoS Protection.
•    Respuesta rápida de Azure DDoS.
•    Precios y Acuerdo de Nivel de Servicio de Azure DDoS estándar.


1Overwatch, World of Warcraft Go Down After DDoS | Digital Trends

2After years of struggling against DDoS attacks, Titanfall is being removed from sale | PC Gamer

3'Escape From Tarkov' suffers sustained server issues in possible DDoS attacks (nme.com)

4Dead by Daylight streamers are being DDoS attacked

5'Final Fantasy 14' EU servers affected by DDoS attack (nme.com)

6Bandwidth CEO confirms outages caused by DDoS attack | ZDNet

7DDoS Attack Hits VoIP and Internet Provider VoIP Unlimited Again UPDATE2 - ISPreview UK

8VoIP company battles massive ransom DDoS attack | ZDNet

930-fold increase in DDoS cyber attacks in India in festive season (ahmedabadmirror.com)

10Gaming industry in Asia Pacific - statistics and facts | Statista

11Di-Initiatives | Digital India Programme | Ministry of Electronics and Information Technology (MeitY) Government of India