信息來源:FreeBuf
說到網(wǎng)絡(luò)安全,你一定會(huì)想起前不久的DDoS攻擊“Mirai”��,導(dǎo)致美國半數(shù)的互聯(lián)網(wǎng)癱瘓�����,你一定會(huì)覺得那很牛掰吧�����,但其實(shí)這并不算什么��,要讓DDoS攻擊力更彪悍����,現(xiàn)在有一種新方法了。
LDAP
據(jù)Corero網(wǎng)絡(luò)安全公司披露,上周發(fā)現(xiàn)一種新型DDoS攻擊媒介針對其客戶發(fā)起攻擊����。這種攻擊技術(shù)是一種利用輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol,LDAP)的放大攻擊��,峰值可以達(dá)到Tb級(jí)別��。LDAP是訪問類似Active Directory數(shù)據(jù)庫用戶名和密碼使用最廣泛的協(xié)議���。它是基于X.500標(biāo)準(zhǔn)的�����,但是簡單多了并且可以根據(jù)需要定制�����。與X.500不同,LDAP支持TCP/IP����,這對訪問Internet是必須的。
LDAP模式
LDAP DDoS攻擊其實(shí)是安全領(lǐng)域的新事物����,這種LDAP協(xié)議可能會(huì)被黑客濫用�����,然后推動(dòng)大規(guī)模的DDoS攻擊��。
據(jù)Corero公司網(wǎng)絡(luò)安全專家披露����,他們已經(jīng)發(fā)現(xiàn)了LDAP DDoS攻擊的實(shí)例���。在這起攻擊中�����,黑客利用了CLDAP協(xié)議中的零日漏洞來發(fā)起攻擊����,其實(shí)在之前就發(fā)生過類似的攻擊�。更令人擔(dān)心的是,專家認(rèn)為這將有可能成為黑客的又一個(gè)選擇����。
聞所未聞�,黑客利用LDAP協(xié)議的漏洞實(shí)施攻擊可以讓放大系數(shù)達(dá)到46�����,在特定條件下�����,峰值甚至能達(dá)到55���。
Corero的安全專家解釋了黑客如何利用CLDAP進(jìn)行攻擊:
攻擊者可以從偽造地址(受害人地址)向支持CLDAP(無連接輕量級(jí)目錄訪問協(xié)議)的服務(wù)器發(fā)送一個(gè)請求�。當(dāng)LDAP服務(wù)器處理請求之后��,便會(huì)向發(fā)送人的地址發(fā)送回復(fù)�。而LDAP服務(wù)器準(zhǔn)備發(fā)送的回復(fù)內(nèi)容是原請求內(nèi)容的數(shù)倍。
正是由于LDAP服務(wù)器回復(fù)的內(nèi)容是原請求內(nèi)容的數(shù)倍�,所以放大技術(shù)才允許慣犯擴(kuò)大他們攻擊的規(guī)模。在受攻擊的情況下�,LDAP服務(wù)器的響應(yīng)能夠達(dá)到非常高的帶寬����,就像我們已經(jīng)看到的那樣,平均放大系數(shù)為46倍��,而在攻擊高峰期,這個(gè)數(shù)值更是達(dá)到了55倍��。
LDAP DDoS IOT
LDAP DDoS攻擊能夠?qū)е路浅?yán)重的后果�����,有專家指出��,這種攻擊產(chǎn)生的通信流量峰值能達(dá)到每秒數(shù)萬兆����。試想一下,網(wǎng)絡(luò)擁堵會(huì)達(dá)到什么地步��?
Corero公司CTO/COO Dave Larson:
這種媒介的出現(xiàn)�����,是原本就已經(jīng)很危險(xiǎn)的DDoS攻擊如虎添翼����,將使DDoS更可怕。當(dāng)與其他方式�,特別是與IoT僵尸網(wǎng)絡(luò)結(jié)合后,我們會(huì)發(fā)現(xiàn)����,這種攻擊會(huì)達(dá)到前所未有的規(guī)模��,并且影響深遠(yuǎn)���。千兆級(jí)別的攻擊將會(huì)成為現(xiàn)實(shí)、常態(tài)����,互聯(lián)網(wǎng)的可用性也可能會(huì)受到極大的影響——至少,在某些地方�����,可用性將會(huì)降低���。
同時(shí)��,Dave還表示:
LDAP不是第一個(gè)��,當(dāng)然也不會(huì)是最后一個(gè)被LDAP DDoS利用的協(xié)議或服務(wù)��。之所以會(huì)發(fā)生諸如此次的攻擊事件��,就是因?yàn)榫W(wǎng)絡(luò)上的開放式服務(wù)器會(huì)對偽造記錄請求進(jìn)行響應(yīng)�����。當(dāng)然�����,通過正確的方式��,也能減少這種攻擊的發(fā)生���。比如,加強(qiáng)檢測���,在偽造的IP地址進(jìn)入網(wǎng)絡(luò)前就識(shí)別出來���。最常見的做法就是,在路由器配置過程中�����,采用入口過濾技術(shù)根除偽造IP地址�,這樣將會(huì)使反射型DDoS總量減少一個(gè)數(shù)量級(jí)。
*參考來源:corero�����,securityaffairs,F(xiàn)B小編latiaojun編譯�����,轉(zhuǎn)載請注明來自FreeBuf.COM
