信息來源：企業(yè)網(wǎng)

如今，DDoS攻擊活動規(guī)模越來越大，一種濫用CLDAP進(jìn)行反射攻擊的新方法可能會允許惡意攻擊者使用較少的設(shè)備生成大量DDoS流量，企業(yè)需對其提高重視。

Akamai威脅研究人員Jose Arteaga和Wilber Mejia已經(jīng)發(fā)現(xiàn)有攻擊者利用無連接輕量目錄訪問協(xié)議（CLDAP）執(zhí)行危險(xiǎn)的反射攻擊。

“自2016年10月以來，Akamai已經(jīng)發(fā)現(xiàn)并緩解共50次CLDAP反射攻擊。在這50次攻擊事件中，33次攻擊是僅使用CLDAP反射的單向量攻擊，”Arteaga和Mejia寫道，“雖然游戲行業(yè)通常是DDoS攻擊的主要目標(biāo)，但我們觀察到的CLDAP攻擊主要針對軟件和技術(shù)行業(yè)以及其他六個(gè)行業(yè)?！?/span>

CLDAP反射攻擊方法最早由Corero Network Security在2016年10月發(fā)現(xiàn)，當(dāng)時(shí)研究人員估計(jì)這種攻擊可將初始響應(yīng)放大到46到55倍，這意味著使用較少資源即可發(fā)起高效率的反射攻擊。

根據(jù)Akamai記錄，在利用CLDAP反射作為唯一攻擊向量的最大攻擊中，52字節(jié)的有效載荷被放大至高達(dá)70倍（3662字節(jié)），峰值帶寬為24Gbps，每秒200萬數(shù)據(jù)包。

雖然這遠(yuǎn)遠(yuǎn)小于Mirai觀察到的高達(dá)1Tbps的峰值帶寬，但咨詢公司Rendition InfoSec LLC創(chuàng)始人Jake Williams稱，這種放大因素可讓低帶寬用戶對擁有更高帶寬的企業(yè)進(jìn)行DDoS攻擊。

“與DNS DDoS一樣，CLDAP是一種放大DDoS攻擊。攻擊者擁有相對有限的帶寬，通過將小型消息發(fā)送到服務(wù)器以及掩飾來源，服務(wù)器會向受害者發(fā)送大量的響應(yīng)信息，”Williams稱，“你只能有效地欺騙無連接協(xié)議的來源，所以CLDAP明顯存在風(fēng)險(xiǎn)?！?/span>

Arteaga和Mejia稱企業(yè)可通過阻止特定端口來限制這種反射攻擊。

“與很多其他反射和放大攻擊向量類似，如果企業(yè)部署適當(dāng)?shù)娜胝具^濾機(jī)制，這種攻擊就無法有效執(zhí)行，”Arteaga和Mejia在博文中稱，“通過互聯(lián)網(wǎng)掃描以及過濾用戶數(shù)據(jù)報(bào)協(xié)議（UDP）目標(biāo)端口389可發(fā)現(xiàn)潛在主機(jī)?！?/span>

Williams也認(rèn)為贊成入站過濾會有所幫助，并指出“CLDAP在2003年已經(jīng)正式推出IETF標(biāo)準(zhǔn)”，使用Active Directory的企業(yè)需要注意這個(gè)威脅。

“Active Directory支持CLDAP，這可能是我們看到CLDAP服務(wù)器暴露在互聯(lián)網(wǎng)上的最大原因，”Williams稱，“電子郵件目錄服務(wù)器可能是另一個(gè)原因，盡管這種情況不太常見?！?/span>