攻击者现在滥用暴露的LDAP服务器来扩大DDoS攻击.远程控制软件,灰鸽子下载

admin

攻击者现在滥用暴露的LDAP服务器来扩大DDoS攻击.远程控制软件,灰鸽子下载

LDAP增加了现有的DDoS反射和放大技术，可以产生大量的攻击
攻击者滥用另一个广泛使用的协议，以扩大分布式拒绝服务攻击：轻量级目录访问协议（LDAP），用于企业网络上的目录服务。
DDoS缓解提供商Corero Network Security最近观察到对其客户的攻击，通过无连接LDAP（CLDAP）反映和扩展，LDAP是LDAP的一种变体，它使用用户数据报协议（UDP）进行传输。

DDoS反射是将使用欺骗性源IP地址的请求发送到因特网上的各种服务器的做法，其然后将其响应指向该地址而不是真实的发送者。伪造的IP地址是预期受害者的IP地址。
请求发送到通过UDP工作的各种服务，因为与传输控制协议（TCP）不同，此传输协议不验证源地址。迄今为止滥用于DDoS反射的服务包括域名系统（DNS），网络时间协议（NTP），简单网络管理协议（SNMP），简单服务发现协议（SSDP）和字符生成器协议CHARGEN）。 CLDAP只是列表中的最新添加项。

DDoS反射具有隐藏来自受害者的真实攻击源的属性，因为流量通过第三方服务器反射，但是还有另一个更重要的原因，攻击者喜欢它：它的放大效应。

大多数用于反射的协议也允许攻击者使用小查询触发大响应。这意味着攻击者可以放大他们可能产生的流量。

虽然LDAP在企业网络中广泛使用，但它在互联网上的使用被认为是有风险的，并且是高度不鼓励的。这并不意味着没有可公开访问的LDAP服务器：SHODAN搜索引擎显示超过140,000个系统响应通过端口389的请求，这是用于LDAP  - 其中近6万个位于美国。

不清楚这些服务器中有多少服务器通过TCP和UDP接受连接，因此可能被滥用于DDoS放大，但即使其中一小部分也能够产生大型攻击。这是因为根据Corero，CLDAP（LDAP over UDP）的平均放大系数为46x，峰值为55x。

这意味着攻击者可以生成大小比触发它们的查询大50倍的响应，并且服务器通常具有比通常构成DDoS僵尸网络的家庭计算机和消费者设备更大的带宽。

此外，今天的DDoS攻击结合了多种技术。例如，控制大僵尸网络的攻击者可以指示其一部分通过LDAP服务器反映其流量，另一部分滥用DNS服务器，另一个执行直接SYN洪水或TCP洪水等。根据6月的Akamai报告，今年观察到的超过60％的DDoS攻击使用两种或更多技术。

Corero网络安全首席技术官Dave Larson说，一个新的零日扩增载体（如LDAP）的问题是它没有扩散。由于只有少数攻击者知道它，他们可以使用这些暴露的LDAP服务器的全部容量发起攻击。例如，DNS服务器不是这样，它们已被映射，并被许多攻击者同时用于反射和放大，限制了他们各自攻击的大小，他解释说。

另一件事情是，黑名单已经存在用于DNS，NTP和其他类型的服务器，这些服务器在DDoS攻击中经常被滥用。对于LDAP服务器，此类列表可能不存在。

近几个月来，DDoS攻击的规模达到了前所未有的程度，部分原因是大量的受到攻击的物联网设备。上个月，网络安全记者Brian Krebs的博客被一个由数千个黑客路由器，IP摄像机和数字视频录像机的僵尸网络发起的620Gbps DDoS攻击。几天后，法国托管公司OVH遭到类似僵尸网络的799Gbps攻击。

上周，针对受管DNS提供商动态网络服务（Dyn）发起的DDoS攻击造成了美国东海岸用户无法访问的许多流行网站。

Corero的Larson认为，越来越多的不安全物联网设备与新的放大向量相结合，可能会导致明年的多比特攻击，甚至未来可能达到10Tbps的攻击。