信息來源:企業(yè)網(wǎng)
如今,DDoS攻擊活動規(guī)模越來越大,一種濫用CLDAP進(jìn)行反射攻擊的新方法可能會允許惡意攻擊者使用較少的設(shè)備生成大量DDoS流量,企業(yè)需對其提高重視。
Akamai威脅研究人員Jose Arteaga和Wilber Mejia已經(jīng)發(fā)現(xiàn)有攻擊者利用無連接輕量目錄訪問協(xié)議(CLDAP)執(zhí)行危險的反射攻擊。
“自2016年10月以來,Akamai已經(jīng)發(fā)現(xiàn)并緩解共50次CLDAP反射攻擊。在這50次攻擊事件中,33次攻擊是僅使用CLDAP反射的單向量攻擊,”Arteaga和Mejia寫道,“雖然游戲行業(yè)通常是DDoS攻擊的主要目標(biāo),但我們觀察到的CLDAP攻擊主要針對軟件和技術(shù)行業(yè)以及其他六個行業(yè)?!?/span>
CLDAP反射攻擊方法最早由Corero Network Security在2016年10月發(fā)現(xiàn),當(dāng)時研究人員估計這種攻擊可將初始響應(yīng)放大到46到55倍,這意味著使用較少資源即可發(fā)起高效率的反射攻擊。
根據(jù)Akamai記錄,在利用CLDAP反射作為唯一攻擊向量的最大攻擊中,52字節(jié)的有效載荷被放大至高達(dá)70倍(3662字節(jié)),峰值帶寬為24Gbps,每秒200萬數(shù)據(jù)包。
雖然這遠(yuǎn)遠(yuǎn)小于Mirai觀察到的高達(dá)1Tbps的峰值帶寬,但咨詢公司Rendition InfoSec LLC創(chuàng)始人Jake Williams稱,這種放大因素可讓低帶寬用戶對擁有更高帶寬的企業(yè)進(jìn)行DDoS攻擊。
“與DNS DDoS一樣,CLDAP是一種放大DDoS攻擊。攻擊者擁有相對有限的帶寬,通過將小型消息發(fā)送到服務(wù)器以及掩飾來源,服務(wù)器會向受害者發(fā)送大量的響應(yīng)信息,”Williams稱,“你只能有效地欺騙無連接協(xié)議的來源,所以CLDAP明顯存在風(fēng)險?!?/span>
Arteaga和Mejia稱企業(yè)可通過阻止特定端口來限制這種反射攻擊。
“與很多其他反射和放大攻擊向量類似,如果企業(yè)部署適當(dāng)?shù)娜胝具^濾機(jī)制,這種攻擊就無法有效執(zhí)行,”Arteaga和Mejia在博文中稱,“通過互聯(lián)網(wǎng)掃描以及過濾用戶數(shù)據(jù)報協(xié)議(UDP)目標(biāo)端口389可發(fā)現(xiàn)潛在主機(jī)。”
Williams也認(rèn)為贊成入站過濾會有所幫助,并指出“CLDAP在2003年已經(jīng)正式推出IETF標(biāo)準(zhǔn)”,使用Active Directory的企業(yè)需要注意這個威脅。
“Active Directory支持CLDAP,這可能是我們看到CLDAP服務(wù)器暴露在互聯(lián)網(wǎng)上的最大原因,”Williams稱,“電子郵件目錄服務(wù)器可能是另一個原因,盡管這種情況不太常見?!?/span>