El método en cuestión ha sido analizado por Imperva Incapsula, empresa dedicada precisamente a la mitigación de ataques DDoS. En su análisis, Imperva escribe que al ser colocados en un gráfico, los ataques clásicos tienen la forma de un triángulo que crece en la medida que los atacantes van sumando recursos, por ejemplo botnets, para alcanzar su objetivo.
Los nuevos ataques Pulse Wave, en tanto, comienzan en cero y alcanzan un alto nivel de intensidad en un corto período de tiempo, para luego volver a cero e iniciar nuevamente el proceso durante ciclos continuos activados mediante breves intervalos.
Según la empresa, una botnet especialmente activa ha estado utilizando la técnica de manera regular durante los últimos meses. Imperva Incapsula escribe que los ataques DDoS de esta red, que no identifica, alcanzaron en una oportunidad un máximo de 350Gbps, nivel que supera con creces el 1 Gbps de los ataques DDoS clásicos.
En su análisis, Imperva Incapsula escribe que durante el breve período de suspensión del ataque, la botnet no se desactiva para luego reiniciarse, sino es dirigida hacia otro objetivo. Este nivel de precisión y control es propio de botnets disponibles mediante el formato DDoS como servicio, donde se ofrece capacidad máxima constante.
Un reto para la mitigación tradicional
La nueva táctica de ataque mediante pulsos está causando dificultades para las soluciones de mitigación híbrida, es decir, una combinación de herramientas on-premise y en la nube. Los elementos on-premise consisten normalmente de hardware configurado para activar la protección Cloud cuando el equipo está siendo desbordado por el ataque DDoS. En otras palabras, este tipo de protección es adecuado para los ataques DDoS clásicos, que van incrementando su intensidad con el paso de las horas.
Los ataques wave, en tanto, tienen una intensidad tal que el equipo local se ve rápidamente desbordado, sin tener tiempo, o el ancho de banda necesario, para invocar la solución basada en la nube.
Según la entidad, recuperarse de un pulso toma normalmente algunos minutos, pero para entonces habrá llegado un nuevo pulso, que paralizará la red. Utilizando esta técnica, los atacantes pueden desconectar a organizaciones por prolongados períodos de tiempo, y paralelamente atacar otros objetivos.
Imperva Incapsula ha publicado un White paper sobre el tema, disponible en su sitio web (su descarga requiere registro).