安全動(dòng)態(tài)

新型DDos攻擊:利用LDAP服務(wù)器實(shí)現(xiàn)攻擊放大

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-11-05    瀏覽次數(shù):
 

信息來源:FreeBuf

cctv-camera-installation.jpg

說到網(wǎng)絡(luò)安全,你一定會(huì)想起前不久的DDoS攻擊“Mirai”,導(dǎo)致美國(guó)半數(shù)的互聯(lián)網(wǎng)癱瘓,你一定會(huì)覺得那很牛掰吧,但其實(shí)這并不算什么,要讓DDoS攻擊力更彪悍,現(xiàn)在有一種新方法了。

LDAP

據(jù)Corero網(wǎng)絡(luò)安全公司披露,上周發(fā)現(xiàn)一種新型DDoS攻擊媒介針對(duì)其客戶發(fā)起攻擊。這種攻擊技術(shù)是一種利用輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol,LDAP)的放大攻擊,峰值可以達(dá)到Tb級(jí)別。LDAP是訪問類似Active Directory數(shù)據(jù)庫(kù)用戶名和密碼使用最廣泛的協(xié)議。它是基于X.500標(biāo)準(zhǔn)的,但是簡(jiǎn)單多了并且可以根據(jù)需要定制。與X.500不同,LDAP支持TCP/IP,這對(duì)訪問Internet是必須的。

63d0f703918fa0ecbb3c2d03269759ee3c6ddbc1.jpg

LDAP模式

LDAP DDoS攻擊其實(shí)是安全領(lǐng)域的新事物,這種LDAP協(xié)議可能會(huì)被黑客濫用,然后推動(dòng)大規(guī)模的DDoS攻擊。

據(jù)Corero公司網(wǎng)絡(luò)安全專家披露,他們已經(jīng)發(fā)現(xiàn)了LDAP DDoS攻擊的實(shí)例。在這起攻擊中,黑客利用了CLDAP協(xié)議中的零日漏洞來發(fā)起攻擊,其實(shí)在之前就發(fā)生過類似的攻擊。更令人擔(dān)心的是,專家認(rèn)為這將有可能成為黑客的又一個(gè)選擇。

聞所未聞,黑客利用LDAP協(xié)議的漏洞實(shí)施攻擊可以讓放大系數(shù)達(dá)到46,在特定條件下,峰值甚至能達(dá)到55。

Corero的安全專家解釋了黑客如何利用CLDAP進(jìn)行攻擊:

攻擊者可以從偽造地址(受害人地址)向支持CLDAP(無連接輕量級(jí)目錄訪問協(xié)議)的服務(wù)器發(fā)送一個(gè)請(qǐng)求。當(dāng)LDAP服務(wù)器處理請(qǐng)求之后,便會(huì)向發(fā)送人的地址發(fā)送回復(fù)。而LDAP服務(wù)器準(zhǔn)備發(fā)送的回復(fù)內(nèi)容是原請(qǐng)求內(nèi)容的數(shù)倍。

正是由于LDAP服務(wù)器回復(fù)的內(nèi)容是原請(qǐng)求內(nèi)容的數(shù)倍,所以放大技術(shù)才允許慣犯擴(kuò)大他們攻擊的規(guī)模。在受攻擊的情況下,LDAP服務(wù)器的響應(yīng)能夠達(dá)到非常高的帶寬,就像我們已經(jīng)看到的那樣,平均放大系數(shù)為46倍,而在攻擊高峰期,這個(gè)數(shù)值更是達(dá)到了55倍。

LDAP DDoS IOT

LDAP DDoS攻擊能夠?qū)е路浅?yán)重的后果,有專家指出,這種攻擊產(chǎn)生的通信流量峰值能達(dá)到每秒數(shù)萬兆。試想一下,網(wǎng)絡(luò)擁堵會(huì)達(dá)到什么地步?

u=3236602083,2902999334&fm=21&gp=0.jpg

Corero公司CTO/COO Dave Larson:

這種媒介的出現(xiàn),是原本就已經(jīng)很危險(xiǎn)的DDoS攻擊如虎添翼,將使DDoS更可怕。當(dāng)與其他方式,特別是與IoT僵尸網(wǎng)絡(luò)結(jié)合后,我們會(huì)發(fā)現(xiàn),這種攻擊會(huì)達(dá)到前所未有的規(guī)模,并且影響深遠(yuǎn)。千兆級(jí)別的攻擊將會(huì)成為現(xiàn)實(shí)、常態(tài),互聯(lián)網(wǎng)的可用性也可能會(huì)受到極大的影響——至少,在某些地方,可用性將會(huì)降低。

同時(shí),Dave還表示:

LDAP不是第一個(gè),當(dāng)然也不會(huì)是最后一個(gè)被LDAP DDoS利用的協(xié)議或服務(wù)。之所以會(huì)發(fā)生諸如此次的攻擊事件,就是因?yàn)榫W(wǎng)絡(luò)上的開放式服務(wù)器會(huì)對(duì)偽造記錄請(qǐng)求進(jìn)行響應(yīng)。當(dāng)然,通過正確的方式,也能減少這種攻擊的發(fā)生。比如,加強(qiáng)檢測(cè),在偽造的IP地址進(jìn)入網(wǎng)絡(luò)前就識(shí)別出來。最常見的做法就是,在路由器配置過程中,采用入口過濾技術(shù)根除偽造IP地址,這樣將會(huì)使反射型DDoS總量減少一個(gè)數(shù)量級(jí)。

*參考來源:corero,securityaffairs,F(xiàn)B小編latiaojun編譯,轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM

 
 

上一篇:建設(shè)智慧城市 信息安全先行

下一篇:2016年11月05日 聚銘安全速遞