Yandex sufrió el mayor ataque DDoS de la historia

Yandex, también conocido como "Google ruso", recibió 21,8 millones de solicitudes por segundo en su punto máximo.

La nueva botnet, llamada Meris, consta de decenas de miles de dispositivos pirateados. Los investigadores creen que la mayoría de los dispositivos de la botnet Meris son accesorios de red de gama alta.

Los medios rusos describieron el ataque de Meris a Yandex como el mayor ataque en la historia de la Internet rusa (también conocida como RuNet). Yandex y su socio anti-DDoS Qrator Labs acaban de compartir detalles del ataque.

Según la información recopilada de múltiples ataques individuales, la red de bots Meris ha llegado a más de 30 000 dispositivos. Mēris es una palabra letona que significa desastre.

Según los datos rastreados por Yandex, el ataque a sus servidores se basa en alrededor de 56,000 clientes potenciales. Sin embargo, los investigadores han encontrado indicios de que la cantidad de dispositivos controlados por las personas detrás de Merit puede estar más cerca de los 250 000.

La discrepancia entre la cantidad de dispositivos utilizados para el ataque y la cantidad de dispositivos controlados sugiere que Meris no ha alcanzado su máxima potencia. Además, la botnet Meris no consiste en dispositivos IoT débiles, sino en dispositivos de red fuertes con conectividad Ethernet.

Figura 1 Yandex sufrió el mayor ataque DDoS de la historia

Meris es la botnet de mayor tráfico jamás registrada y bloqueada por Cloudflare. El ataque alcanzó un máximo de 17,2 millones de solicitudes por segundo (RPS).

Sin embargo, este récord lo batió la propia Meris el 5 de septiembre, cuando atacó a Yandex con 21,8 millones de RPS de tráfico. En el último mes, Yandex ha sufrido varios ataques de intensidad creciente:

  1. 7 de agosto: 5,2 millones de RPS
  2. 9 de agosto: 6,5 millones de RPS
  3. 29 de agosto: RPS 9,6 millones
  4. 31 de agosto: 10,9 millones de RPS
  5. 5 de septiembre: RPS 21,8 millones

Para implementar el ataque, Meris se basó en el proxy SOCKS4 de un dispositivo comprometido que usaba tecnología DDoS a través de una conexión HTTP y el puerto 5678, dijeron los investigadores. Al mismo tiempo, los dispositivos controlados por Meris son todos dispositivos. Asociado con MikroTik, un fabricante de equipos de red de Letonia cuyos principales clientes son clientes corporativos.

La mayoría de los dispositivos controlados por Meris tienen abiertos los puertos 2000 y 5678. Entre ellos, MikroTik usa el 5678 público como Protocolo de descubrimiento de vecinos de MikroTik.

Mientras buscaban en la Internet pública, los investigadores encontraron 328 000 servidores con un puerto TCP abierto de 5678. Sin embargo, no todos son dispositivos MikroTik. MikroTik es actualmente consciente de este problema.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!