Protección DDoS aumentada para entornos de nube/NFV con BIG-IP VE para SmartNIC

Los ataques de denegación de servicio distribuidos (DDoS) son cada vez más comunes como forma de sabotaje por parte de activistas, delincuentes, jugadores e incluso gobiernos. A medida que los proveedores de servicios implementan la infraestructura 5G y las empresas se someten a la transformación digital, se espera que crezca el tamaño y la superficie objetivo de los posibles ataques. Este aumento del riesgo, combinado con la tendencia al cambio organizativo hacia arquitecturas definidas por software eficientes y rentables, hace que la mitigación de DDoS para entornos de nube/NFV sea ahora más importante que nunca.

Este documento presenta información sobre los mecanismos de ataque DDoS y describe cómo la solución de mitigación de DDoS por software de F5 puede aumentarse con FPGA PAC N3000 SmartNIC de Intel, lo que permite mitigar los ataques DDoS de una magnitud hasta 300 veces mayor mediante la descarga a la solución FPGA integrada en SmartNIC.

En este mundo interconectado y dependiente de lo digital, los ciberataques pueden tener importantes repercusiones negativas en empresas, proveedores de servicios y entidades gubernamentales. Mientras que los medios de comunicación se centran en el robo de información confidencial por parte de los hackers que la utilizan con fines de chantaje y extorsión, muchos actores maliciosos simplemente lo que quieren es causar un daño económico.^[1] En un ataque de denegación de servicio (DoS), los atacantes se dirigen a un servicio conectado a Internet (por ejemplo, un sitio web o un servidor de correo) y hacen que se bloquee o deje de responder. Un ataque de denegación de servicio puede provenir de una solicitud especialmente diseñada que hace que el software del servidor no funcione correctamente.

En los últimos años, con las mejores prácticas de codificación y técnicas de regresión se ha conseguido que los ataques DoS simples sean menos efectivos. En consecuencia, los ataques de denegación de servicio distribuidos (DDoS) se han vuelto más comunes; se espera que esta tendencia continúe a medida que los proveedores de servicios implementen la infraestructura 5G y la informática de extremo. Los ataques DDoS suelen estar orquestados por individuos malintencionados y distribuidos a través de una red de robots coordinada de dispositivos informáticos comprometidos y conectados en red. Estos dispositivos pueden recibir órdenes de enviar tráfico de ataque a un dispositivo o servicio víctima.^[1] Mientras que el impacto de un solo dispositivo comprometido es mínimo de acuerdo con la mayoría de los estándares de rendimiento de procesamiento, un ataque coordinado mediante miles o incluso decenas de miles de dispositivos de una gran red de robots puede alcanzar niveles de rendimiento que muchos proveedores de servicios son incapaces de asimilar.

Para las empresas que dependen de su presencia en línea, las disminuciones en la calidad del servicio y el tiempo de inactividad perjudican sus resultados. El comercio electrónico es especialmente vulnerable a las interrupciones; los cortes de servicio pueden costar entre miles y millones de dólares por minuto. Los ataques que no provocan una interrupción pueden afectar negativamente al rendimiento, lo que supone una pérdida real de ingresos si los clientes frustrados se van a otro proveedor de comercio electrónico.^[2]

El aumento de la velocidad de conexión a Internet de los consumidores y la mayor ubicuidad de los dispositivos en la nube aumentan el potencial de los ataques DDoS. Los dispositivos conectados suponen una preocupación especial, y mantenerlos protegidos es imperativo para conservar la seguridad y la fiabilidad de los servicios en línea. Junto con el aumento del potencial de estos ataques, muchas organizaciones corren un mayor riesgo de sufrir ataques DDoS ya que disponen de arquitecturas centradas en el software. La mayoría de las protecciones basadas en software contra los DDoS carecen de la capacidad y el rendimiento necesarios para defenderse de los ataques a gran escala. Afortunadamente, las SmartNIC (la última generación de tarjetas de interfaz de red) pueden cambiar esta situación al quitar la carga que las funciones de red y seguridad suponen para las soluciones de software y aliviar la presión sobre las CPU disponibles.

En este informe se define una serie de mecanismos de ataque, utilizando pruebas de situaciones de ataques reales, antes de mostrar cómo la solución de mitigación de DDoS por software de F5, F5® BIG IP® Advanced Firewall Manager™, Virtual Edition (BIG-IP AFM VE) puede aumentarse con el PAC 3000 SmartNIC de Intel. Mostraremos cómo esta solución combinada (solución BIG-IP Virtual Edition para SmartNIC) es capaz de mitigar ataques DDoS de una magnitud hasta 300 veces superior que una solución equivalente de solo software.

Los ataques sin estado pueden utilizarse contra protocolos con estado pero no requieren que el atacante rastree el estado de las conexiones maliciosas. Son conocidos porque requieren un mínimo de recursos y funcionan con la suplantación de la dirección IP de origen. La forma clásica y más utilizada de ataque comienza con una solicitud falsa a un servidor para abrir una conexión con estado, que el cliente infractor (a menudo un nodo de la red de robots) nunca reconocerá.^[1] El ataque de inundación de TCP SYN es un ejemplo específico. Durante el establecimiento de una conexión TCP, el saludo de tres partes comienza con la transmisión de un paquete SYN por parte del cliente. Cuando el servidor recibe un paquete SYN del cliente, inmediatamente asigna memoria para una estructura de datos de socket TCP que contiene la tupla, el número de secuencia y el estado de la sesión. A continuación, el servidor responde al cliente con un paquete SYN-ACK.

En circunstancias normales, la pérdida de paquetes o la lentitud de la comunicación pueden hacer que el paquete SYN-ACK se retrase o se pierda por completo. El servidor debe decidir cuánto tiempo mantener el socket en un estado semiabierto antes de transmitir un reinicio y liberar la memoria para otras tareas.^[3] Una técnica conocida de DDoS consiste en generar una avalancha de paquetes SYN para engañar al servidor víctima y que asigne sockets TCP y memoria a miles de sesiones falsas. Una tasa de ataque de miles de paquetes SYN por segundo hace que un servidor web consuma rápidamente toda su memoria. En este ejemplo, el atacante malicioso tiene ventaja; el atacante sabe que ninguna de las sesiones será utilizada, por lo que no hay necesidad de reservar memoria para ellas. Esto permite al atacante dedicar todos los recursos del sistema a transmitir paquetes SYN falsos adicionales.

Los protocolos sin estado son fáciles de explotar porque funcionan bien utilizando direcciones de origen falsas.^[4] Dado que los protocolos sin estado no requieren de saludo en tres partes, la transmisión de un único paquete manipulado a un servidor inicia una respuesta inmediata, utilizando recursos mínimos en el dispositivo del adversario y ocultando su identidad.^[5] Los paquetes de respuesta de datos de la víctima se reenvían a la IP falsa, que podría ser una dirección distinta a la de la víctima; en volumen, pueden ralentizar o inutilizar una conexión a Internet o un servidor, lo que aumenta la eficacia del ataque.

Una categoría independiente de ataques sin estado, conocida como ataques de amplificación, incluye inundaciones de DNS e inundaciones de NTP. Ambos ataques utilizan la falsificación de direcciones como parte del vector de ataque. Los ataques de amplificación son especialmente dañinos porque la respuesta del servidor puede ser una orden de magnitud superior que la solicitud original.

En 2018, GitHub, un conocido servicio de gestión de código favorito entre los desarrolladores, se encontró con el mayor ataque DDoS registrado hasta el momento. Durante el momento cumbre del ataque, el servicio sufrió un tráfico entrante a una tasa de 1,3 terabytes por segundo (Tbps). Se trataba de un ataque DDoS a la memoria en caché que aprovechó el efecto de amplificación mediante el conocido sistema de almacenamiento en caché de bases de datos, Memcached. Durante el ataque, el atacante inundó los servidores de Memcached con solicitudes falsas y fue capaz de amplificar el ataque multiplicado por 50 000 veces.^[6]

Aunque los ataques sin estado representan un tipo común de amenaza DDoS, su simplicidad los hace fáciles de detectar y prevenir o mitigar.

Los ataques DDoS con estado tienen más éxito y son más difíciles de prevenir. Los ataques con estado completan un saludo en tres pasos con la víctima y, a partir de ahí, se comportan como un usuario legítimo. Esta categoría de vector de ataque puede engañar a los antiguos mecanismos de prevención de DDoS, y requiere más potencia de cálculo y memoria en la máquina atacante. La clave para lanzar un ataque con éxito reside en comportarse como una solicitud legítima. La dificultad para mitigar estos ataques radica en la clasificación adecuada para diferenciar las solicitudes de usuarios reales de las maliciosas.

Un ejemplo sencillo de ataque con estado consiste en emular el comportamiento de los usuarios legítimos para crear un volumen de tráfico suficientemente grande mediante un gran número de atacantes (por ejemplo, una red de robots). Estos ataques volumétricos tienen éxito cuando la víctima no puede asimilar o procesar todas las solicitudes, o cuando la conexión a Internet del servicio está saturada de capacidad. Dado que el tráfico está diseñado para emular el comportamiento de los usuarios legítimos, es mucho más difícil detectar y diferenciar el tráfico malicioso del legítimo. En el caso de los servicios que implican algún tipo de mecanismo de saludo (los ejemplos podrían incluir el desafío-respuesta, la codificación secreta o el intercambio de cookies), un ataque volumétrico puede ser la única forma de explotar a la víctima, a menos que se encuentre una debilidad en el esquema de respuesta que permita una generación común de respuesta válida.^[7]

Una categoría de ataques avanzados con estado se dirige a servicios concretos a nivel de aplicación. Un ejemplo, que ataca el protocolo HTTP, se conoce como «Slowloris». Este ataque comienza con un atacante malicioso que envía múltiples solicitudes parciales HTTP «GET» al servidor web para saturar el máximo de conexiones simultáneas disponibles. El ataque funciona porque el protocolo HTTP mantendrá una conexión abierta mientras un cliente envía un comando de solicitud, que a su vez puede dividirse en múltiples paquetes. El cliente malicioso enviará periódicamente solicitudes HTTP parciales al servidor (con hasta varios minutos de tiempo de inactividad entre ellas) sin terminar nunca la solicitud.

Un método similar a Slowloris es el ataque «Are You Dead Yet» o «RUDY», que utiliza comandos HTTP «POST» para enviar lentamente respuestas de datos a un servidor web desprevenido.^[8]Ambos métodos requieren un mínimo de recursos para ser ejecutados, y como el tiempo de espera predeterminado para mantener una conexión HTTP abierta es de 5 minutos en muchos servidores web, también requieren un mínimo de ancho de banda.^[1]

Un ataque de inundación de fragmentos también puede ser un ataque con estado efectivo. Esta técnica se puede coordinar con muchos puertos y direcciones de origen dirigidos a un solo destino. El punto final bajo ataque guardará el estado de cada paquete de fragmentos mientras intenta volver a componer cada uno de ellos. Cada combinación única de puerto y dirección de origen requerirá la asignación de otro búfer de fragmentación por parte del sistema atacado. La capacidad de los distintos sistemas maliciosos de originar paquetes fragmentados puede superar los recursos del sistema atacado al intentar mantener el estado de todas las transacciones fragmentadas.

Dado que los ataques con estado se basan en la generación de respuestas válidas para la víctima, normalmente no es posible falsificar la dirección de origen del atacante. Una excepción a esta regla es si el atacante puede comprometer un enrutador o un medio de red por el que hacer pasar el tráfico legítimo. En este caso, el atacante puede falsificar la dirección de origen y generar respuestas válidas cuando husmea la respuesta de la víctima, esencialmente siguiendo el estado de la conexión.^[7]

Para caracterizar la eficacia de las soluciones de F5 para mitigar diferentes tipos de ataques DDoS, se configuró un entorno de prueba utilizando sistemas de prueba IXIA. Un IXIA XT80 generó un buen tráfico de clientes «legítimos» y respuestas del servidor, y un IXIA XGS12 generó un tráfico de ataque de clientes «malos». La prueba se configuró para establecer una línea de base estable de tráfico cliente-servidor legítimo mientras se incrementaba el tráfico de ataque para identificar el nivel en el que el tráfico de ataque comenzaba a interferir con la entrega correcta del tráfico legítimo. Esto permitió una caracterización reproducible y poder comparar la eficacia de la mitigación. En cada prueba, se consideró que los ataques DDoS habían afectado al sistema con éxito al observarse una caída del 10 % en el tráfico legítimo respecto a la línea de referencia establecida.

La línea de referencia de tráfico legítimo se configuró al 20 % de la capacidad del sistema BIG-IP VE, que era una VE de alto rendimiento de 8vCPU con el módulo BIG-IP AFM aprovisionado. Dado que este sistema es capaz de realizar transacciones de 40 Gbps, la línea de referencia de tráfico legítimo se mantuvo en 8 Gbps.

BIG-IP AFM VE mitiga los ataques DDoS estableciendo umbrales permitidos para varias clasificaciones de tráfico (por ejemplo, UDP, fragmentos, TCP SYN, etc.). Una vez que se ha superado el umbral para un tipo de tráfico concreto, el sistema puede configurarse para descartar todo el tráfico que coincida con esa clasificación. Esto libera al sistema de los costes adicionales asociados al procesamiento de ese tipo de tráfico. Si bien las soluciones DDoS basadas en software pueden proporcionar algunas ventajas en comparación con un sistema sin protección, las limitaciones en la capacidad del software para procesar paquetes a velocidad de línea significan que la mitigación por software no puede prevenir completamente los efectos de un ataque DDoS.

El siguiente paso de la prueba fue establecer la tasa de tráfico DDoS necesaria para empezar a interrumpir el tráfico legítimo con la solución de solo software en su sitio. Esto se hizo para poder comparar el rendimiento entre una solución de solo software y la solución BIG-IP VE para SmartNIC. La configuración del sistema de arquitectura para la prueba de BIG-IP AFM puede verse en la Figura 6.

Los datos de rendimiento de la mitigación de DDoS de BIG-IP AFM VE se recogieron para tres tipos diferentes de ataques DDoS con el fin de permitir un análisis más completo. Los tipos de ataque para esta simulación incluyeron:

• Ataque tipo 1 o Ataque de inundación UDP: Este ataque volumétrico sin estado se realiza enviando un gran número de paquetes UDP (User Datagram Protocol) a un servidor objetivo con el fin de impactar en la capacidad de ese servidor para procesar y responder.
• Ataque Tipo 2 o Ataque de Christmas Tree: Este ataque utiliza paquetes de Christmas Tree, llamados así porque tienen todas las opciones «encendidas» para que se pueda utilizar cualquier protocolo, lo que hace que aparezcan «iluminados como un árbol de Navidad». Estos paquetes requieren mucha más potencia de procesamiento que otros paquetes y pueden consumir rápidamente la capacidad de cálculo de un dispositivo final cuando se envían en grandes cantidades.
• Tipo de ataque 3 o Ataque de fragmento corto de IP: Este ataque DDoS volumétrico común satura una red explotando el proceso de fragmentación de datagramas. Normalmente se consigue enviando paquetes falsos que no se pueden volver a montar y que son más grandes que la unidad máxima de transmisión (MTU) de la red; estos ataques saturan rápidamente los servidores agotando los recursos de la CPU.

La Figura 7 muestra el volumen de tráfico, en Gbps, que es necesario para que cada uno de estos tipos de ataque afecte al tráfico legítimo cuando se utiliza BIG-IP AFM VE (solo software).

No todos los ataques DDoS son iguales. Algunos están más distribuidos por el sistema que otros, y algunos ataques requieren más inspección y análisis de paquetes antes de poder identificarlos. Esto hace que la eficacia de los ataques DDoS varíe, como puede verse en el gráfico anterior. Estos tres métodos de ataque simulados demuestran que el tráfico legítimo puede verse afectado por los ataques DDoS con rendimientos relativamente bajos cuando se utilizan soluciones solo de software.

La solución BIG-IP VE para SmartNIC consta de AFM VE de alto rendimiento de 8vCPU (igual que para la prueba de solo software) integrado con Intel FPGA PAC N3000 SmartNIC. Esto permite descargar la protección DDoS a SmartNIC. La solución FPGA integrada en esta SmartNIC ha sido programada para detectar y bloquear automáticamente más de 100 tipos diferentes de ataques DDoS conocidos, al mismo tiempo que utiliza análisis de comportamiento para mitigar amenazas desconocidas y en evolución.

Mediante la supervisión de las tasas de recepción de paquetes para todos los perfiles de tráfico programados dentro del tráfico de entrada, y la comparación con los umbrales aceptables configurados, la solución FPGA puede determinar cuándo se ha superado un umbral. Cuando esto ocurre, la solución FPGA aplica las políticas apropiadas para eliminar el tráfico que excede los máximos configurados. Esto evita que el subsistema de la CPU procese tráfico de paquetes que en última instancia se descartará debido a la política de mitigación de DDoS. Gracias a que la solución FPGA es capaz de clasificar el tráfico de paquetes a velocidad de línea (a diferencia del subsistema de la CPU), la solución habilitada para SmartNIC ofrece notables ventajas respecto a la solución de solo software.

Para el siguiente paso de esta demostración, la solución habilitada para SmartNIC se sometió a los mismos tres ataques DDoS en el entorno de prueba. Al igual que antes, el objetivo era identificar la tasa de tráfico DDoS necesaria para impactar en el flujo de tráfico legítimo. La figura 8 muestra la configuración del sistema de arquitectura para la prueba de BIG-IP VE para SmartNIC.

Los resultados de esta prueba se muestran en la Figura 9.

Se observó que la solución DDoS de solo software de F5 (BIG-IP AFM VE) puede proporcionar cierto nivel de protección contra los ataques a pequeña escala antes de que el tráfico legítimo se vea afectado negativamente, pero esta solución no pudo evitar los impactos negativos de los ataques más grandes. La integración de BIG-IP AFM VE con FPGA PAC N3000 SmartNIC de Intel para que resultó en la solución BIG-IP VE para SmartNIC supuso notables mejoras de rendimiento. Al delegar la responsabilidad de mitigar las amenazas DDoS de BIG-IP AFM VE a FPGA dentro de la SmartNIC, la solución combinada fue capaz de soportar ataques de una magnitud de entre 41 y 381 veces mayor, incluyendo ataques con tasas de 30 Gbps y superiores. Para las organizaciones y los proveedores de servicios que dan prioridad a la nube, esta solución ofrece la protección de alto rendimiento de un hardware de diseño específico, al mismo tiempo que ofrece la flexibilidad y agilidad de los entornos de nube. Además, como FPGA puede reprogramarse, es posible mejorar otras funciones de red y seguridad a medida que evolucionan las amenazas.

¹ G. D. Hakem Beitollahi, Analyzing well-known countermeasures against distributed denial of service attacks, Computer Communications, 2012.
² H. W. Chuan Yue, «Profit-aware overload protection in E-commerce Web sites,» Journal of Network and Computer Applications, vol. 32, p. 347–356, 2009.
³ A. M. Christos Douligeris, «DDoS attacks and defense mechanisms: classification and state-of-the-art», Computer Networks, vol. 44, no. 5, pp. 643-666, 2004.
⁴ G. D. Hakem Beitollahi, «Analyzing well-known countermeasures against distributed denial of service attacks», Computer Communications, vol. 35, no. 11, pp. 1312-1332, 2012.
⁵ M. Prince, «Deep Inside a DNS Amplification DDoS Attack», CloudFlare, 30 10 2012. [En línea]. Disponible en: https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/. [Último acceso el 1 11 2015].
⁶ US-CERT, «UDP-Based Amplification Attacks», 19 de agosto de 2015. [En línea]. Disponible en: https://www.us-cert.gov/ncas/alerts/TA14-017A.
⁷ Y. T. W. D. Shigang Chen, «Stateful DDoS attacks and targeted filtering», Journal of Network and Computer Applications, vol. 30, no. 3, pp. 823-840, 2007.
⁸ https://www.incapsula.com/ddos/attack-glossary/rudy-r-u-dead-yet.html, «R.U.D.Y. (R-U-Dead-Yet?)», [En línea]. Disponible en: https://www.incapsula.com/ddos/attack-glossary/rudy-r-u-dead-yet.html. [Último acceso el 9 12 2015].