DDoS de reflexión de CLDAP

El equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai ha identificado un nuevo método de amplificación y reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP). Este aviso analiza las capacidades de este nuevo tipo de ataque de reflexión y le ofrece posibles formas de protección.

Autores: Jose Arteaga y Wilber Mejia

1.0. Descripción general

El 14 de octubre de 2016, el centro de operaciones de seguridad (SOC) de Akamai comenzó a mitigar ataques de lo que sospechaban que era reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP). Este nuevo método de reflexión y amplificación ya ha sido confirmado por el equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai y se ha observado que produce ataques distribuidos de denegación de servicio (DDoS), comparables a la reflexión de sistema de nombres de dominio (DNS) en que la mayoría exceden de 1 Gbps.

De manera similar a muchos otros vectores de ataque de reflexión y amplificación, este no tendría lugar si se estableciera un filtro de entrada adecuado. Los hosts potenciales se detectan mediante los análisis de Internet y el filtrado del puerto de destino 389 del protocolo de datagramas de usuario (UDP) para eliminar la detección de otro posible host responsable de los ataques. Este aviso abarcará la distribución de estos recursos, los métodos de ataque y los sectores atacados observados.

2.0. Cronología del ataque

Desde octubre de 2016, Akamai ha detectado y mitigado un total de 50 ataques de reflexión CLDAP. De esos 50 ataques, 33 eran ataques de vector único en los que se utilizaba la reflexión de CLDAP exclusivamente. En la figura 1 se muestra una cronología de los ataques, muestra su tamaño y detalla si eran de vector único o multivector.

CLDAP Reflection DDoS Attack Timeline

Aunque el sector de los videojuegos suele ser el objetivo principal de los ataques DDoS, los ataques de CLDAP que se han observado han tenido como objetivo los sectores de software y tecnología principalmente, junto con otros seis sectores.

Number of CLDAP Reflection Attacks By Industry

2.1. Atributos destacados del ataque

El 7 de enero de 2017, Akamai observó y mitigó el mayor ataque DDoS mediante reflexión de CLDAP como vector único. Los atributos del ataque fueron los siguientes:

  • Sectores verticales: Internet y telecomunicaciones
  • Ancho de banda máximo: 24 gigabits por segundo
  • Paquetes máximos por segundo: 2 millones de paquetes por segundo
  • Vectores de ataque: CLDAP
  • Puerto de origen: 389
  • Puerto de destino: Aleatorio

CLDAP Reflection Attack Signature

Las firmas de este ataque revelan que tiene un gran potencial de uso de factores de amplificación. Tras las primeras oleadas de ataques mediante CLDAP, el SIRT de Akamai pudo obtener una muestra de las consultas de reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP). La consulta de carga es de solo 52 bytes y se desarrolla en la sección "Attack & CLDAP overview" (Ataque y descripción general de CLDAP). Esto significa que el factor de amplificación base (BAF) para la carga de datos del ataque era de 3662 bytes y la carga de consulta de 52 bytes era 70 veces superior, aunque solo se consiguió que un host exhibiera ese tamaño de respuesta. Los análisis posteriores al ataque mostraron que la amplificación media del ataque fue 56,89 veces superior.

Este ataque de 24 Gbps es el ataque más grande que Akamai ha mitigado hasta la fecha. Por otro lado, el ataque más pequeño que Akamai ha observado que utilizara este vector fue de 300 Mbps y el ancho de banda medio del ataque para un ataque CLDAP ha sido de 3 Gbps.