LDAP se añade al arsenal de técnicas de reflexión y amplificación DDoS que puede generar ataques masivos.

Los atacantes están abusando de otro protocolo ampliamente utilizado para amplificar ataques distribuidos de denegación de servicio: el protocolo LDAP (Lightweight Directory Access Protocol), que se utiliza para servicios de directorio en redes corporativas.

Corero Network Security proveedor de mitigación de DDoS ha observado recientemente un ataque contra sus clientes que se refleja y se amplifica a través de LDAP sin conexión (Connectionless LDAP), una variante de LDAP que utiliza el protocolo UDP (User Datagram Protocol) para el transporte.

Los ataques DDoS de reflexión tienen la propiedad de ocultar la verdadera fuente del ataque de la víctima, ya que el tráfico se refleja a través de servidores de terceros, pero hay otra razón más importante por la que los atacantes lo prefieren: su efecto de amplificación.

La mayoría de los protocolos utilizados para la reflexión también permiten ataques que desencadenan respuestas de gran tamaño utilizando pequeñas consultas. Esto significa que los atacantes pueden amplificar la cantidad de tráfico generada.

Mientras LDAP es ampliamente utilizado en el interior de las redes corporativas, su uso directamente en Internet se considera riesgoso y no es nada recomendable. Esto no quiere decir que no hay servidores LDAP públicamente accesibles: el motor de búsqueda SHODAN muestra más de 140,000 sistemas que responden a solicitudes a través del puerto 389, que se utiliza para LDAP (casi 60,000 de ellos están ubicados en los EE.UU).

No está claro cuántos de estos servidores aceptan conexiones a través de TCP y UDP y, por tanto, podrían ser objeto de abuso para la amplificación de DDoS, pero incluso una pequeña parte de ellos serían capaces de generar grandes ataques. Eso es porque de acuerdo a Corero, CLDAP (LDAP a través de UDP) tiene un factor de amplificación media de 46x y un máximo de 55x.

Esto significa que los atacantes pueden generar respuestas que son 50 veces más grandes que las consultas que ellos envían, y los servidores normalmente tienen un ancho de banda mayor que los equipos personales y dispositivos de consumo que normalmente componen las redes de bots DDoS.

Además, los ataques DDoS de hoy combinan múltiples técnicas. Por ejemplo, un atacante que controla una gran botnet podría dirigir una parte de ella para reflejar su tráfico a través de los servidores LDAP, otra porción para abusar de los servidores DNS, otra para llevar a cabo las inundaciones SYN directas o inundaciones TCP y así sucesivamente. De acuerdo con un informe de Akamai, a partir de junio de este año más de 60% de los ataques DDoS observados utiliza dos o más técnicas.

El problema con un nuevo vector de amplificación de día cero como LDAP es que no ha sido difundido, dijo Dave Larson, director de tecnología de Corero Network Security. Dado que solo un pequeño número de atacantes saben sobre él, pueden utilizar toda la capacidad de estos servidores LDAP expuestos para lanzar ataques. Ese no es el caso de los servidores DNS, por ejemplo, que han sido mapeados y se utilizan para la reflexión y amplificaciones por muchos atacantes que, al mismo tiempo, limita el tamaño de sus ataques individuales, explicó.

Otra cosa es que ya hay listas negras de DNS, NTP y otros tipos de servidores que han sido abusados --constantemente en ataques DDoS. Estas listas no están disponibles aún para los servidores LDAP.