Cloudflare va publicar un informe d’un atac DDOS massiu, anomenant diversos centres de dades d’allotjament al núvol coneguts com els orígens de l’atac. L’atac semblava seguir una tendència d’atacs cada cop més llançats des de centres de dades en lloc de les xarxes de bots residencials tradicionals.
L’atac es va descriure com un dels més grans mai vists:
“A principis d’aquest mes, els sistemes de Cloudflare van detectar i mitigar automàticament un atac DDoS de 15,3 milions de sol·licituds per segon (rps), un dels atacs DDoS HTTPS més grans registrats”.
DDOS
Un atac de denegació de servei distribuït (DDoS) és quan milers de dispositius connectats a Internet fan sol·licituds de pàgines a un ritme ràpid, cosa que pot provocar que el servidor del lloc web no pugui processar les sol·licituds de pàgines web des de, una condició coneguda com a denegació. de servei.
Els atacs DDOS generalment provenen del que es coneix com a botnets.
Botnets
Una botnet és una xarxa de dispositius connectats a Internet com encaminadors, dispositius IoT, ordinadors, llocs web i servidors d’allotjament web que estan infectats i posats sota control dels pirates informàtics.
Botnets d’ISP residencials a centres de dades basats en núvol
L’informe de Cloudflare va assenyalar que els atacs DDOS provenen cada cop més de centres de dades basats en núvol en lloc de botnets d’ISP residencials. Això suposa un canvi de tàctica.
Segons l’informe d’atac DDOS de Cloudflare:
“El que és interessant és que l’atac prové principalment de centres de dades. Estem veient un gran pas dels proveïdors de serveis d’Internet (ISP) de xarxa residencial als ISP de computació en núvol”.
Principals centres de dades al núvol
Cloudflare va anomenar diversos centres de dades basats en núvol com a orígens de l’atac, dos dels quals ja són coneguts a la comunitat editorial com a fonts habituals de correu brossa i visitants de bot no desitjats.
Les dues fonts més importants d’aquest atac DDOS, segons les dades de Cloudflare, van ser OVH i Hetzner.
Cloudflare va oferir aquests detalls:
“…l’atac es va originar en més de 1.300 xarxes diferents. Les principals xarxes incloïen el proveïdor alemany Hetzner Online GmbH (número de sistema autònom 24940), Azteca Comunicaciones Colombia (ASN 262186), OVH a França (ASN 16276), així com altres proveïdors de núvol”.
OVH i Hetzner com a fonts de correu brossa
A més de ser l’origen dels atacs DDOS, se sap que OVH i Hetzner són fonts d’atacs relacionats amb el correu brossa.
Segons el servei de protecció contra correu brossa SaaS Dades de CleanTalkels robots de correu brossa provinents d’OVH representen el 10,97% de l’activitat detectada des d’adreces IP associades a OVH.
Activitat de correu brossa provinent de Hetzner que va ser detectat per CleanTalkde les 213.621 adreces IP detectades com a font de trànsit, 14.997 (7,02%) d’aquestes adreces IP estaven associades a atacs de correu brossa.
Tot i que els atacs DDOS i el correu brossa són dues coses diferents, aquestes estadístiques es citen per mostrar com aquests dos centres de dades al núvol s’utilitzen per a una varietat d’activitats malicioses, no només per als atacs DDOS.
Un editor del WebmasterWorld Forum va observar recentment que experimentaven un trànsit de bot d’OVH que era més gran que el del trànsit humà legítim d’ISP coneguts.
El membre de WebmasterWorld va escriure en un missatge del fòrum:
“Durant els darrers 24 mesos, el servidor web s’ha connectat a una dotzena de llocs web que gestiono amb un alt percentatge de trànsit procedent del centre de dades d’OVH.
Aquest trànsit arriba a través de nombroses adreces IP assignades a OVH. Com que el volum de trànsit és considerablement més gran que el que prové dels ISP legítims (ATT, Verizon, Charter, Comcast, Shaw, etc.), tinc la impressió que el trànsit d’OVH es deu als robots/scrapers allotjats al centre de dades d’OVH. servidors en núvol”.
El trànsit de bot no desitjat d’OVH és un problema tan comú que quan un centre de dades d’OVH a França va cremar un El membre de WebmasterWorld pràcticament va aplaudir l’esdeveniment mitjançant la publicació:
“Vent el costat bo, els nostres llocs web tindran menys trànsit de bots ara”.
La pregunta que potser cal fer és: per què hi ha tant trànsit de robots canalla procedent d’OVH i Hetzner?
Això tampoc és una cosa nova. Les queixes dels administradors web i dels editors sobre el trànsit de bots d’OVH es remunten a molt temps.
Aquests són exemples de discussions sobre WebmasterWorld amb OVH:
Les anteriors són debats en fòrums que es remunten a l’any 2013, on els editors i els administradors web es queixen del trànsit de robots delinqüents d’OVH.
En una discussió del fòrum WebmasterWorld del 2015 titulada Fonts de botnets, un membre del fòrum ha publicat:
“RE: botnets, em preocupen més els que fan clic falsos als meus anunciants (allotjats, de tercers i AdSense).
Tanmateix, estic segur que hi ha un encreuament important per a ambdues categories, de manera que aquests articles enllaçats de Spamhaus són una bona lectura, gràcies. Petita sorpresa que OVH lideri la manada!”
Atesa la llarga història de trànsit de bots no desitjat d’OVH i Hetzner, no és del tot sorprenent veure que Cloudflare els cita ara com a orígens d’un atac DDOS.
OVH i Hetzner són els orígens dels atacs de bots i DDOS
Els serveis de bloqueig de correu brossa de Saas han ben documentat que OVH i Hetzner són fonts de correu brossa. Ara tenim documentació de Cloudflare que els serveis d’allotjament en núvol d’OVH i Hetzner serveixen com a orígens dels atacs DDOS.
Cloudflare va identificar els atacs com a provinents d’una xarxa de bots en aquells amfitrions del núvol. Això pot significar que diversos servidors estaven compromesos.
