Los ataques de denegación de servicio distribuidos, DDoS, son uno de los ataques informáticos más potentes y peligrosos que se llevan a cabo a través de Internet. Estos ataques se basan principalmente en mandar un gran número de conexiones simultáneas a un servidor de manera que este no sea capaz de procesarlas y deje sin servicio a sus usuarios legítimos. Para potenciar la efectividad de estos ataques, los piratas informáticos suelen utilizar diferentes protocolos, como NTP y, actualmente, LDAP, de manera que los ataques DDoS se vean amplificados.
En el pasado, los piratas informáticos han utilizado diferentes protocolos para potenciar estos ataques, sin embargo, es posible que los piratas informáticos hayan encontrado una nueva forma de amplificar aún más sus ataques DDoS haciendo uso del protocolo LDAP, acrónimo de Lightweight Directory Access Protocol, incluido y utilizado principalmente en Active Directory, herramienta administrativa de Windows Server.
La empresa de seguridad Corero, especializada en la detección y mitigación de ataques DDoS, asegura haber identificado una vulnerabilidad en este protocolo que permite, como hemos dicho, amplificar hasta 50 veces la potencia de los ataques DDoS. Los piratas informáticos se aprovechan de esta vulnerabilidad de manera que el tráfico malicioso viaje entre los diferentes servidores LDAP, pero indicando en todos ellos la IP de la víctima como IP de destino donde mandar las respuestas de las peticiones.
Gracias a esta técnica, los ataques DDoS son hasta 50 veces más potentes, aumentando su efectividad y complicando notablemente la mitigación de los mismos.
LDAP no es el único protocolo utilizado para potenciar los ataques DDoS
Potenciar o amplificar los ataques DDoS es una técnica que se conoce como «DDoS reflection«. Los piratas informáticos se aprovechan de distintas vulnerabilidades de los distintos protocolos de red (vulnerabilidades que, además, no pueden ser solucionadas al basarse principalmente en la naturaleza del propio protocolo) de manera que se envían constantes peticiones entre todos los dispositivos «zombie» de la botnet que lleva a cabo el ataque y se engaña a cada uno para enviar las respuestas de las peticiones a la IP de la víctima en lugar de al emisor.
El año pasado, los protocolos más utilizados para estos ataques DDoS fueron NetBIOS, RPC, Sentinel, DNSSEC y TFTP. A principios de este año se pudo ver cómo los ataques a través de los protocolos SMTP, DNS y NTP eran mucho más efectivos que los anteriores y, ahora, aprovechando el protocolo LDAP se ha podido superar, con creces, los anchos de banda conseguidos hasta ahora.
Debemos tener en cuenta que el ataque contra DynDNS de la semana pasada consiguió anchos de banda de entre 620 Gbps y 1.1 Tbps sin hacer uso del protocolo LDAP. De haber hecho uso de él, el ancho de banda mínimo hubiera sido fácilmente superior al terabit por segundo, algo que, según la empresa de seguridad, podría hacerse realidad en un futuro cercano.
¿Crees que se deberían implementar nuevas medidas de seguridad en las infraestructuras de red para mitigar de manera más eficaz los peligrosos ataques DDoS?
Os dejamos otro artículo con algunos consejos para deshabilitar NetBIOS en Windows.