¿Cuándo un ataque DDoS no es un ataque DDoS? En el caso del tan alardeado servicio DNS 1.1.1.1 de Cloudflare recientemente lanzado, la respuesta es cuando negligentemente bloqueas un supuesto episodio DDoS cuando realmente es algo mucho más cercano.
Los usuarios que empleen el servidor DNS 1.1.1.1 (o 1.0.0.1) a nivel del router habrán visto como el pasado 31 de mayo, durante 17 minutos comenzando a las 7:58 UTC, se quedaron sin Internet en todos los dispositivos conectados.
Los usuarios que hicieran lo mismo en ordenadores Windows, Linux o Mac habrán notado lo mismo pero solo se vería afectado ese dispositivo.
Alguien que intuyera que ocurría algo con el servicio DNS y lo hubiera cambiado por ejemplo al 9.9.9.9 que pertenece a Global Cyber Alliance, habría solucionado el problema.
Un servicio DNS que deja de funcionar durante tanto tiempo puede indicar algún tipo de ataque DDoS el que, dado que Cloudflare ofrece un gran servicio de mitigación de ataques DDoS gracias a algo llamado Gatebot, sería notable que pudiera haber ocurrido.
Ahora Cloudflare ha publicado una entrada en su blog en la que admite haber sufrido un ataque DDoS poco habitual y extraño (uno imaginario).
En pocas palabras, el Gatebot de Cloudflare comenzó a interpretar el tráfico del 1.1.1.1 (es decir el que envían y reciben sus usuarios) como un ataque DDoS a su infraestructura.
Suena bastante raro al principio, pero como lo explica la empresa, Gatebot normalmente requiere una lista hard-coded de direcciones IP para chequear si el tráfico procede de Cloudflare o es externo.
El 31 de mayo, Gamebot apuntó a una nueva Provision Api, una innovación para reducir los riesgos del sistema antiguo de actualización manual.
Desafortunadamente los rangos 1.1.1.0/24 y 1.0.0.0/24 utilizados por su servicio 1.1.1.1 requerían que se añadiese una excepción:
Como te puedes imaginar ahora, no implementamos la excepción manual mientras realizábamos el trabajo de integración. Recuerda que la idea era eliminar todos los problemas con los hard-coded.
Como resultado, Gatebot interpretó las peticiones de DNS como un ataque y realizó el trabajo para el que lo programaron:
Si bien Gatebot, el sistema de mitigación DDoS, tiene un gran poder, no fuimos capaces de testear los cambios correctamente. Estamos utilizando este incidente para mejorar nuestros sistemas internos.
Este no es el primer incidente que afecta a 1.1.1.1 desde su lanzamiento el 1 de abril. Así como alguna filtración BGP, un tipo de rerouting que puede ser malicioso pero no lo es, algunos gateways suministrados por AT&T bloqueaban el servicio.
¿Pero por qué son importante servicios DNS como 1.1.1.1?
La razón habitual es rendimiento, con usuarios insatisfechos por la velocidad que el servidor DNS de su proveedor resuelve los nombres de dominios web a su IP correspondiente.
El servicio de Cloudflare ofrece un segundo beneficio: privacidad. Aunque ya se ha realizado mucho trabajo hacia los nuevos estándares de DNS cifrados, todavía existen países que recopilan peticiones de DNS por varios motivos.
Sin embargo no hay ninguna razón para ofrecer un servicio DNS rápido y privado si no va a estar ahí cuando lo necesites. Por eso Cloudflare ha prometido:
La próxima vez que miguemos el tráfico de 1.1.1.1, nos aseguraremos que hay un ataque legítimo afectándonos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: