LDAP被添加到DDoS反射和放大技术的武器库中,用于产生大量的攻击。
图片来源:GerdAltmann/Pixabay
为了增强分布式拒绝服务攻击,攻击者正滥用一个广泛被使用的协议:轻量级目录访问协议(LDAP),该协议用于企业网络目录服务。
DDoS攻击防护提供商Corero网络安全公司最近观察到针对其客户的一次攻击,该攻击是通过无连接的LDAP(CLDAP)来反射和放大的,CLDAP是LDAP的一个变种
海外服务器
,是使活动:慈云数据爆款香港服务器,CTG+CN2高速带宽、快速稳定、平均延迟10+ms 速度快,免备案,每月仅需19元!! 点击查看用用户数据报协议(UDP)来进行传输。
DDoS反射是利用伪造的源IP地址向互联网上的服务器发送请求,从而使得响应报文发送到伪造的地址,而不是发送到真正的发件人。伪造的IP地址是预期受害者的IP地址。
DDoS反射发出的这些请求,被发送到使用UDP的各种服务上,与传输控制协议(TCP)不同,UDP传输协议不验证源地址。到目前为止,被DDoS反射滥用的服务包括域名系统(DNS)、网络时间协议(NTP)、简单网络管理协议(SNMP)、简单服务发现协议(SSDP)和字符发生器协议(CHARGEN)。CLDAP是最新加入到这个列表中的。
由于流量是通过第三方服务器反射的,DDoS反射具有隐藏真实攻击源的属性,暴露出被利用者。但攻击者爱它还有另一个更重要的原因:它的放大效应。
大多数被用来反射的协议,都允许攻击者通过小小的请求触发大量的回复。这意味着攻击者可以放大他们自己所产生的通信的总量。
虽然LDAP在企业网络中广泛使用,但在互联网上直接使用是非常危险的,强烈建议不这么做。这并不意味着没有可以公开被访问LDAP服务器:SHODAN搜索引擎显示,有超过140000个系统响应389端口请求,该端口用于LDAP——其中将近60000个系统位于美国。
目前还不清楚这些服务器中有多少接受TCP和UDP连接,并有可能会在DDoS放大攻击中被滥用,即使是一小部分也能够产生巨大的攻击。据Corero公司透露,这是因为CLDAP(采用UDP的LDAP)的平均放大系数为46x,峰值为55x。
这意味着攻击者可以生成比触发服务器的查询大50倍的反应,服务器通常比家用电脑和消费类电子设备拥有更大的带宽,通常会形成DDoS僵尸网络。
此外,如今的DDoS攻击结合了多重技术。比如,攻击者控制僵尸网络可以让其中一部分通过LDAP服务器反射其流量,另一部分滥用DNS服务器,其他部分执行直接SYN泛洪或TCP泛洪等等。Akamai6月份的一份报告显示,据观测,今年超过60%的DDoS攻击至少使用了两种技术。
Corero网络安全的首席技术官DaveLarson说,目前利用新的、零日漏洞放大器(LDAP)的问题还没有被扩散。因为只有少量的攻击者知道它,他们可以利用这些暴露的LDAP服务器的全部容量来发动攻击。他解释说,这和利用DNS服务器之类的攻击不一样,那些服务器同时被众多攻击者用于反射和放大,会限制单个攻击流量的大小。
另一件事是,因为一些服务器在DDoS攻击中不断被滥用,已经有DNS、NTP和其他类型服务器的黑名单。目前可能还没有这类LDAP服务器列表。
近几个月来,DDoS攻击的规模已经达到了前所未有的水平,尤其表现在大量受损的物联网设备。上个月,网络安全记者BrianKrebs的博客遭受620Gbps的DDoS攻击,攻击来自由成千上万的被黑的路由器、IP摄像机和数字录像机(监控器)组成的僵尸网络。几天后,法国的主机托管公司OVH遭受到来自类似的僵尸网络的799Gbps的攻击。
前不久发生了针对DNS提供商动态网络服务(DYN)的DDoS攻击
海外服务器
,致使许多在美国东海岸的用户无法访问主流的网站。
Corero公司的Larson说,越来越多的不安全物联网设备和新的放大载体结合,可能会导致明年出现更多的多比特攻击攻,攻击甚至会高达10Tbps。
本文由e安在线独家翻译,本文章及图片出于传递更多信息之目的,属于非营利性的翻译转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。
原文链接:
本文从“云米网络(ymisp)”转载,原作者保留一切权利,若侵权请联系删除。
《海外|LDAP服务器被用于放大DDoS攻击》来自互联网同行内容,若有侵权,请联系我们删除!
还没有评论,来说两句吧...