El Servicio de eliminación de tráfico no deseado (UTRS), una defensa gratuita entre pares contra la denegación de servicio distribuida, se ha actualizado con controles más granulares que permiten a las organizaciones bloquear el tráfico que utiliza protocolos específicos o se dirige a puertos específicos.
Este servicio brinda a los proveedores de red más pequeños, así como a las empresas que administran sus propios servidores y recursos en línea, la capacidad de bloquear el tráfico a ciertas direcciones de Internet que controlan. La versión inicial de UTRS, que ha funcionado durante más de siete años, permitía a las organizaciones desactivar una dirección de Internet específica bajo su control. La última versión agrega controles más granulares, lo que permite cerrar protocolos específicos o puertos de destino.
La idea de este servicio no es simplemente evitar que el tráfico llegue a un servidor o aplicación objetivo, sino llevar el bloqueo al borde de la red, dice James Shank, arquitecto jefe de servicios comunitarios y evangelista de seguridad sénior en Team Cymru, la inteligencia de amenazas. empresa que gestiona el proyecto.
“La esperanza es que esto vuelva a unir a los operadores de red como una comunidad de personas con ideas afines que hacen lo que hacen los operadores de red: enviar paquetes, recibir paquetes y, en muchos casos, mitigar los ataques”, dice. “Nuestra esperanza es que recupere un poco de equidad entre los peces gordos y los peces pequeños en la comunidad de operaciones de red”.
Los ataques de denegación de servicio distribuido (DDoS) han cambiado con el tiempo. Ahora, ellos son empresas más pequeñas y golpeadas en ráfagas cortas. La industria de los videojuegos tiende a ser el mayor objetivo de DDoS, con un 340% más de ataques en 2020 que el año anterior — una tendencia impulsada por tramposos, dolientesy, cada vez más, los ciberdelincuentes. Sin embargo, una variedad de otras industrias también sufren constantemente.
El proyecto Plataforma UTRS 2.0 permite a las organizaciones más pequeñas bloquear ataques diciéndoles a las empresas que bloqueen cualquier tráfico enviado a una dirección de Internet específica. Esta táctica no solo evita que las empresas y redes más pequeñas se vean inundadas de tráfico, causando daños colaterales a otros servicios, sino que también lleva el filtrado al borde de la red, evitando que el ataque afecte a otros proveedores.
"Si el tráfico se origina en los bots de 100,000... todo ese tráfico pasa por todos estos proveedores y afecta su ancho de banda", dice Shank. “UTRS brinda protección a la propia Internet”.
UTRS es uno de los servicios comunitarios de Team Cymru, que la empresa ofrece sin costo alguno para ayudar a mejorar las capacidades de los equipos de seguridad. Actualmente, la plataforma cuenta con 1,300 empresas participantes y permite que una organización, una vez verificada por Team Cymru, emita comandos de bloqueo para direcciones de Internet bajo su control. La verificación es el único proceso manual. Una vez que se verifica una empresa, puede emitir solicitudes de bloqueo que luego se distribuyen a los proveedores ascendentes, que filtran el tráfico.
Cada red participante tiene la capacidad de bloquear hasta 25 direcciones, y el servicio distribuye una lista de los 200 objetivos más recientes y bloquea el tráfico a esas direcciones IP. Si bien 200 no parece mucho, normalmente no hay muchos ataques que afecten a cientos de direcciones IP al mismo tiempo, dice Shank.
“En nuestra experiencia, lo que está sucediendo ahora mismo es más importante y más válido que lo que estaba sucediendo hace cuatro horas”, dice.
Cambios desde la primera versión
El UTRS original se basó en un servicio anterior, Remotely Triggered Black Hole (RTBH), que podría eliminar el tráfico que proviene de una dirección IP específica o eliminar el tráfico a una dirección IP específica. La segunda versión de UTRS permite bloquear el tráfico utilizando ciertos protocolos y apuntando a puertos específicos. Una empresa participante solo puede cambiar el estado de las direcciones en su propio espacio de direcciones IP, dice Shank.
“Si usted es la víctima, el ataque se originará en el espacio de direcciones de otra persona, por eso le permitimos filtrar el tráfico desde su espacio de direcciones”, dice. “Uno de los mantras de larga data en la comunidad es que todas las políticas son locales: usted establece políticas para su red, pero no tiene control sobre las redes de otras personas”.
Una de las características más prometedoras de UTRS 2.0 es la capacidad de descartar el tráfico utilizando las reglas de FlowSpec para el Protocolo de puerta de enlace fronteriza (BGP), parte de la infraestructura de Internet que comunica las rutas autorizadas que el tráfico debe tomar en la red. El protocolo BGP FlowSpec permite que las solicitudes de agujeros negros sean mucho más detalladas, especificando un protocolo, el puerto de origen y el puerto de destino.
El objetivo del servicio comunitario es brindar a los proveedores de redes más pequeños y a las empresas que administran su propia infraestructura la capacidad de responder a los ataques y bloquearlos en el borde, dice Shank.
“Estas redes más pequeñas no pueden permitirse servicios de alto valor para ayudar a proteger su red”, dice. “Lo mejor de UTRS es que está recuperando la paridad entre los grandes y pequeños jugadores”.
