Traducción Google:
Corero Network Security da a conocer hoy una de día cero ataque de denegación de servicio (DDoS) técnica, observado en la naturaleza, que es capaz de amplificar el tráfico malicioso en un factor de hasta 55x.
La firma de defensa DDoS hizo el anuncio hoy en día, ya que los investigadores continuaron para sondear una, grande IO-dispositivo alimentado ataque DDoS que tenía como objetivo proveedor de servicios de DNS Dyn viernes pasado, lo que altera significativamente los usuarios de Internet.
David Larson, director de tecnología y director de operaciones de Corero, dijo SCMagazine.com en una entrevista que la empresa detectó tres ataques separados el pasado viernes y sábado que generan tráfico a una velocidad de 22, 28 y 70 Gbps, respectivamente. De acuerdo con Corero, los ataques explotan el Protocolo Lightweight Directory Access oLDAP , un protocolo de aplicación que se utiliza comúnmente para acceder a la información de los servidores en línea. De acuerdo con Corero, si futuros ataques fueron LDAP para aprovechar la Mirai el malware botnet empleada en el ataque Dyn, el tráfico malicioso podría llegar a niveles sin precedentes de ancho de banda, tal vez de hasta decenas de terabits por segundo.
Para ejecutar el ataque, un mal actor de exploraciones para servidores con un puerto abierto 389, que soporta la comunicación de datos basada en LDAP sin conexión. El adversario a continuación, envía consultas a estos servidores, usando una dirección IP falsificadas.El servidor enviará entonces su enorme cantidad de respuestas a esa dirección imitan, bombardeando el destinatario – el objetivo previsto DDoS – con mucho tráfico. En los tres casos Corero observó, este ataque al estilo de reflexión tenía un coeficiente medio de amplificación de 46x, con un máximo de 55x.
Larson dijo que el más grande de los ataques (70 Gbps) fue probablemente la ayuda de un pequeño botnet que genera una multitud de consultas imitan. «Con el fin de llegar a ese tamaño, es necesario aprovechar gran número de servidores LDAP. Así que no es una solicitud de rebote fuera de un servidor; que es el envío de un gran número de solicitudes de potencialmente muchos miles de servidores LDAP abiertas «, dijo Larson.
El problema es que la mayoría de los servidores de Internet abierta no debería ser capaz de responder a solicitudes LDAP, sin embargo, sus servidores de seguridad suelen estar configurados para permitir que tales intercambios de datos. «No hay ninguna razón legítima de que se me ocurre para mantener el puerto 389 abierto en el firewall. Usted no debe ser capaz de encontrarlo «, dijo Larson. «Tenemos que mejorar nuestra higiene genérico de seguridad y no dejar los servicios disponibles en Internet que no es necesario que esté disponible en Internet. consultas basadas en LDAP únicamente debería ser ejecutado a través de una conexión VPN segura, agregó Larson.
Larson también pidió a los ISP a emplear el filtrado de entrada a la red para detectar el tráfico entrante falsa, lo que inhibe los ataques DDoS que dependen de direcciones IP simuladas.
Latest posts by Jose Miguel (see all)
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
- Curso Básico de Ciberseguridad. Módulo 2 - 23 noviembre, 2024
- Episodio 6: Implementar la seguridad en conexiones remotas. - 22 noviembre, 2024
