|
攻击者现在滥用暴露的LDAP服务器来扩大DDoS攻击.远程控制软件,灰鸽子下载
LDAP增加了现有的DDoS反射和放大技术,可以产生大量的攻击
攻击者滥用另一个广泛使用的协议,以扩大分布式拒绝服务攻击:轻量级目录访问协议(LDAP),用于企业网络上的目录服务。
DDoS缓解提供商Corero Network Security最近观察到对其客户的攻击,通过无连接LDAP(CLDAP)反映和扩展,LDAP是LDAP的一种变体,它使用用户数据报协议(UDP)进行传输。
DDoS反射是将使用欺骗性源IP地址的请求发送到因特网上的各种服务器的做法,其然后将其响应指向该地址而不是真实的发送者。伪造的IP地址是预期受害者的IP地址。
请求发送到通过UDP工作的各种服务,因为与传输控制协议(TCP)不同,此传输协议不验证源地址。迄今为止滥用于DDoS反射的服务包括域名系统(DNS),网络时间协议(NTP),简单网络管理协议(SNMP),简单服务发现协议(SSDP)和字符生成器协议CHARGEN)。 CLDAP只是列表中的最新添加项。
DDoS反射具有隐藏来自受害者的真实攻击源的属性,因为流量通过第三方服务器反射,但是还有另一个更重要的原因,攻击者喜欢它:它的放大效应。
大多数用于反射的协议也允许攻击者使用小查询触发大响应。这意味着攻击者可以放大他们可能产生的流量。
虽然LDAP在企业网络中广泛使用,但它在互联网上的使用被认为是有风险的,并且是高度不鼓励的。这并不意味着没有可公开访问的LDAP服务器:SHODAN搜索引擎显示超过140,000个系统响应通过端口389的请求,这是用于LDAP - 其中近6万个位于美国。
不清楚这些服务器中有多少服务器通过TCP和UDP接受连接,因此可能被滥用于DDoS放大,但即使其中一小部分也能够产生大型攻击。这是因为根据Corero,CLDAP(LDAP over UDP)的平均放大系数为46x,峰值为55x。
这意味着攻击者可以生成大小比触发它们的查询大50倍的响应,并且服务器通常具有比通常构成DDoS僵尸网络的家庭计算机和消费者设备更大的带宽。
此外,今天的DDoS攻击结合了多种技术。例如,控制大僵尸网络的攻击者可以指示其一部分通过LDAP服务器反映其流量,另一部分滥用DNS服务器,另一个执行直接SYN洪水或TCP洪水等。根据6月的Akamai报告,今年观察到的超过60%的DDoS攻击使用两种或更多技术。
Corero网络安全首席技术官Dave Larson说,一个新的零日扩增载体(如LDAP)的问题是它没有扩散。由于只有少数攻击者知道它,他们可以使用这些暴露的LDAP服务器的全部容量发起攻击。例如,DNS服务器不是这样,它们已被映射,并被许多攻击者同时用于反射和放大,限制了他们各自攻击的大小,他解释说。
另一件事情是,黑名单已经存在用于DNS,NTP和其他类型的服务器,这些服务器在DDoS攻击中经常被滥用。对于LDAP服务器,此类列表可能不存在。
近几个月来,DDoS攻击的规模达到了前所未有的程度,部分原因是大量的受到攻击的物联网设备。上个月,网络安全记者Brian Krebs的博客被一个由数千个黑客路由器,IP摄像机和数字视频录像机的僵尸网络发起的620Gbps DDoS攻击。几天后,法国托管公司OVH遭到类似僵尸网络的799Gbps攻击。
上周,针对受管DNS提供商动态网络服务(Dyn)发起的DDoS攻击造成了美国东海岸用户无法访问的许多流行网站。
Corero的Larson认为,越来越多的不安全物联网设备与新的放大向量相结合,可能会导致明年的多比特攻击,甚至未来可能达到10Tbps的攻击。
|
|