信息來(lái)源:企業(yè)網(wǎng)
如今,DDoS攻擊活動(dòng)規(guī)模越來(lái)越大,一種濫用CLDAP進(jìn)行反射攻擊的新方法可能會(huì)允許惡意攻擊者使用較少的設(shè)備生成大量DDoS流量,企業(yè)需對(duì)其提高重視。
Akamai威脅研究人員Jose Arteaga和Wilber Mejia已經(jīng)發(fā)現(xiàn)有攻擊者利用無(wú)連接輕量目錄訪問(wèn)協(xié)議(CLDAP)執(zhí)行危險(xiǎn)的反射攻擊。
“自2016年10月以來(lái),Akamai已經(jīng)發(fā)現(xiàn)并緩解共50次CLDAP反射攻擊。在這50次攻擊事件中,33次攻擊是僅使用CLDAP反射的單向量攻擊,”Arteaga和Mejia寫(xiě)道,“雖然游戲行業(yè)通常是DDoS攻擊的主要目標(biāo),但我們觀察到的CLDAP攻擊主要針對(duì)軟件和技術(shù)行業(yè)以及其他六個(gè)行業(yè)?!?/span>
CLDAP反射攻擊方法最早由Corero Network Security在2016年10月發(fā)現(xiàn),當(dāng)時(shí)研究人員估計(jì)這種攻擊可將初始響應(yīng)放大到46到55倍,這意味著使用較少資源即可發(fā)起高效率的反射攻擊。
根據(jù)Akamai記錄,在利用CLDAP反射作為唯一攻擊向量的最大攻擊中,52字節(jié)的有效載荷被放大至高達(dá)70倍(3662字節(jié)),峰值帶寬為24Gbps,每秒200萬(wàn)數(shù)據(jù)包。
雖然這遠(yuǎn)遠(yuǎn)小于Mirai觀察到的高達(dá)1Tbps的峰值帶寬,但咨詢公司Rendition InfoSec LLC創(chuàng)始人Jake Williams稱,這種放大因素可讓低帶寬用戶對(duì)擁有更高帶寬的企業(yè)進(jìn)行DDoS攻擊。
“與DNS DDoS一樣,CLDAP是一種放大DDoS攻擊。攻擊者擁有相對(duì)有限的帶寬,通過(guò)將小型消息發(fā)送到服務(wù)器以及掩飾來(lái)源,服務(wù)器會(huì)向受害者發(fā)送大量的響應(yīng)信息,”Williams稱,“你只能有效地欺騙無(wú)連接協(xié)議的來(lái)源,所以CLDAP明顯存在風(fēng)險(xiǎn)?!?/span>
Arteaga和Mejia稱企業(yè)可通過(guò)阻止特定端口來(lái)限制這種反射攻擊。
“與很多其他反射和放大攻擊向量類似,如果企業(yè)部署適當(dāng)?shù)娜胝具^(guò)濾機(jī)制,這種攻擊就無(wú)法有效執(zhí)行,”Arteaga和Mejia在博文中稱,“通過(guò)互聯(lián)網(wǎng)掃描以及過(guò)濾用戶數(shù)據(jù)報(bào)協(xié)議(UDP)目標(biāo)端口389可發(fā)現(xiàn)潛在主機(jī)。”
Williams也認(rèn)為贊成入站過(guò)濾會(huì)有所幫助,并指出“CLDAP在2003年已經(jīng)正式推出IETF標(biāo)準(zhǔn)”,使用Active Directory的企業(yè)需要注意這個(gè)威脅。
“Active Directory支持CLDAP,這可能是我們看到CLDAP服務(wù)器暴露在互聯(lián)網(wǎng)上的最大原因,”Williams稱,“電子郵件目錄服務(wù)器可能是另一個(gè)原因,盡管這種情況不太常見(jiàn)。”