En su habitual reporte sobre el estado de internet del primer trimestre del 2015 la empresa Akamai destaca el crecimiento de los ataques DDoS, en especial los ataques de reflexión basados en SSDP (Upnp) con un 20% de porcentaje. China sigue siendo el país que encabeza la lista negra del origen de los ataques, seguido esta vez de Alemania (sustituye a USA como segundo páis de origen). De nuevo la industria del juego (Gaming) es la más afectada.






Akamai acaba de lanzar el Estado Q1 2015 de Internet - Informe de Seguridad. Por primera vez en un solo informe, que combina lo mejor de análisis DDoS con datos recogidos de millones de ataques a aplicaciones web a través de la red de Akamai Edge.

El Informe de Seguridad Q1 2015 incluye detalles y datos sobre las tendencias emergentes, incluyendo un enfoque especial en la expansión del uso de los ataques de inyección SQL, la prevalencia de ataques de reflexión SSDP, y los factores de riesgo para el sitio web de la desfiguración y el secuestro de dominio. Un estudio de caso explica las implicaciones de seguridad de agotamiento de IPv4 y la transición a IPv6.

A continuación se destacan las estadísticas del informe Q1 2015 que ilustran los desarrollos más recientes en la actividad criminal en línea. En comparación con Q1 2014:

• 117 por ciento más de los ataques DDoS
• 39 por ciento de disminución en el ancho de banda promedio de pico
• 89 por ciento de disminución en los paquetes de media punta por segundo
• aumento del 60 por ciento en los ataques de capa de aplicación 
• aumento del 125 por ciento en los ataques de la capa de infraestructura
• aumento del 43 por ciento en el promedio de duración de ataque
• ataques SSDP: 0 vs. 21 por ciento de todos los ataques

El informe también incluye el análisis de siete tipos de ataque aplicación web común y el impacto continuo de sitios gestor de arranque / stresser de alto ancho de banda ataques DDoS, junto con un resumen de las principales advertencias de amenazas de este trimestre y recomendaciones de mitigación.

 Ejemplo fragmento muestra de un ataque SSDP:

15:17:48.540126 IP x.x.x.x.80 > y.y.y.y1900: UDP, length 90
E..vc.....o...
....P.l.b..M-SEARCH * HTTP/1.1
Host:239.255.255.250:1900
ST:ssdp:all
Man:”ssdp:discover”
MX:3

M-SEARCH(request method) *(any resource) HTTP/1.1(HTTP version)
HOST: 239.255.255.250:1900 (multicast address and port)
ST: ssdp:all (search for all devices and all services)
MAN: “ssdp:discover” (defines scope)
MX: 3 (delay response by 3 seconds)

El Estado q1 2015 de Internet - Informe de Seguridad marca un cambio significativo respecto a ediciones pasadas. Con esta edición, hemos combinado Datos ataque DDoS apareció previamente en el Estado clásico de la Internet Informe con los datos publicados anteriormente en los trimestrales DDoS Prolexic Informe atacar.

Las dos fuentes de datos ayudan a formar una visión más integral de la Internet y los ataques que se producen a diario. En febrero de 2014, Akamai adquirió Prolexic, trayendo una poderosa afluencia de talento investigador de seguridad a la mesa. Con la publicación de la q3 2014 informe, el Informe Prolexic Ataque DDoS se convirtió oficialmente en el Estado de Internet - Informe de Seguridad. Con la edición q1 2015, hemos llegado a un importante paso en el viaje, incluyendo las contribuciones de el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y amenaza Investigación, así como la Ingeniería de Seguridad Prolexic e Investigación Equipo (PLXsert).


El primer trimestre de 2015 estableció un récord para el número de ataques DDoS grabada en la red PLXrouted del Akamai - más del doble de lo se informó en Q1 de 2014. El perfil del típico ataque, sin embargo, tiene cambiado. El año pasado, gran ancho de banda, los ataques de corta duración eran la norma. En Q1 2015, el típico ataque DDoS fue de menos de 10 Gbps y persistió durante más de 24 horas. 

Los vectores de ataque DDoS más comunes han cambiado también. Este trimestre, simple
Servicio Discovery Protocol (SSDP) ataques compuesta por más de 20 por ciento de los ataques vectores, mientras que los ataques SSDP no se observaron en todos en Q1 2014. La proliferación de los dispositivos conectados a Internet en el hogar sin garantía utilizando el Universal Plug and Play (UPnP) Protocolo ha hecho atractivo para su uso como reflectores.

Mitigación de ataques UDP Reflection DrDoS

Vectores de ataques DDoS

• syn floods (17 percent)
• ssdp floods (15 percent)
• udp fragment (14 percent)
• udp floods (11 percent)
• dns attacks (11 percent
• ntp attacks accounted 8 percent
• icmp for 4 percent
• ack floods for 3 percent
• reset flood for 1 percent

Top 10 países de origen atacantes

Aataques Web Application Firewall (WAF)

• SQLi inyección / sql es un ataque en el que se aprobó el contenido del usuario a una sentencia SQL sin validación adecuada.
• LFI / inclusión de archivos local es un ataque donde un usuario malicioso es capaz de ganaracceso de lectura no autorizado a archivos locales en el servidor web.
• rfi / inclusión de archivos remoto es un ataque donde los abusos de un usuario malintencionado el dinámicas archivo incluye mecanismo, que está disponible en muchos lenguajes de programación, y cargas remota de código malicioso en la aplicación web víctima.
• PHPi / inyección php es un ataque donde un usuario malicioso es capaz de inyectar código PHP,el cual es ejecutado por el sinterpreter php.
• Inyección CMDi / Comando es una vulnerabilidad que un usuario malicioso tiene la capacidadpara ejecutar comandos shell arbitrarios en el sistema de destino.
• Inyección JAVAi / Java es un ataque donde un usuario malintencionado inyecta código Java,abusando del objeto Gráfico navegación Idioma (OGNL), un lenguaje de expresión de Java. Este tipo de ataque se hizo muy popular debido a fallas recientes en los Struts basadas en Java
• Framework, que utiliza OGNL ampliamente en el procesamiento de parámetros galleta y consulta.
• carga mfu / Malicious file upload (o carga de archivos sin restricción) es un tipo de ataque donde un usuario malicioso cargue archivos no autorizados para la aplicación de destino. Estos potencialmente archivos maliciosos más tarde pueden ser utilizados para obtener el control total sobre el sistema.

Fuente:
Akamai