灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 11880|回复: 0

攻击者现在滥用暴露的LDAP服务器来扩大DDoS攻击.远程控制软件,灰鸽子下载

[复制链接]
发表于 2016-10-27 13:56:05 | 显示全部楼层 |阅读模式
攻击者现在滥用暴露的LDAP服务器来扩大DDoS攻击.远程控制软件,灰鸽子下载

LDAP增加了现有的DDoS反射和放大技术,可以产生大量的攻击
攻击者滥用另一个广泛使用的协议,以扩大分布式拒绝服务攻击:轻量级目录访问协议(LDAP),用于企业网络上的目录服务。
DDoS缓解提供商Corero Network Security最近观察到对其客户的攻击,通过无连接LDAP(CLDAP)反映和扩展,LDAP是LDAP的一种变体,它使用用户数据报协议(UDP)进行传输。

DDoS反射是将使用欺骗性源IP地址的请求发送到因特网上的各种服务器的做法,其然后将其响应指向该地址而不是真实的发送者。伪造的IP地址是预期受害者的IP地址。
请求发送到通过UDP工作的各种服务,因为与传输控制协议(TCP)不同,此传输协议不验证源地址。迄今为止滥用于DDoS反射的服务包括域名系统(DNS),网络时间协议(NTP),简单网络管理协议(SNMP),简单服务发现协议(SSDP)和字符生成器协议CHARGEN)。 CLDAP只是列表中的最新添加项。

DDoS反射具有隐藏来自受害者的真实攻击源的属性,因为流量通过第三方服务器反射,但是还有另一个更重要的原因,攻击者喜欢它:它的放大效应。

大多数用于反射的协议也允许攻击者使用小查询触发大响应。这意味着攻击者可以放大他们可能产生的流量。

虽然LDAP在企业网络中广泛使用,但它在互联网上的使用被认为是有风险的,并且是高度不鼓励的。这并不意味着没有可公开访问的LDAP服务器:SHODAN搜索引擎显示超过140,000个系统响应通过端口389的请求,这是用于LDAP  - 其中近6万个位于美国。

不清楚这些服务器中有多少服务器通过TCP和UDP接受连接,因此可能被滥用于DDoS放大,但即使其中一小部分也能够产生大型攻击。这是因为根据Corero,CLDAP(LDAP over UDP)的平均放大系数为46x,峰值为55x。

这意味着攻击者可以生成大小比触发它们的查询大50倍的响应,并且服务器通常具有比通常构成DDoS僵尸网络的家庭计算机和消费者设备更大的带宽。

此外,今天的DDoS攻击结合了多种技术。例如,控制大僵尸网络的攻击者可以指示其一部分通过LDAP服务器反映其流量,另一部分滥用DNS服务器,另一个执行直接SYN洪水或TCP洪水等。根据6月的Akamai报告,今年观察到的超过60%的DDoS攻击使用两种或更多技术。

Corero网络安全首席技术官Dave Larson说,一个新的零日扩增载体(如LDAP)的问题是它没有扩散。由于只有少数攻击者知道它,他们可以使用这些暴露的LDAP服务器的全部容量发起攻击。例如,DNS服务器不是这样,它们已被映射,并被许多攻击者同时用于反射和放大,限制了他们各自攻击的大小,他解释说。

另一件事情是,黑名单已经存在用于DNS,NTP和其他类型的服务器,这些服务器在DDoS攻击中经常被滥用。对于LDAP服务器,此类列表可能不存在。

近几个月来,DDoS攻击的规模达到了前所未有的程度,部分原因是大量的受到攻击的物联网设备。上个月,网络安全记者Brian Krebs的博客被一个由数千个黑客路由器,IP摄像机和数字视频录像机的僵尸网络发起的620Gbps DDoS攻击。几天后,法国托管公司OVH遭到类似僵尸网络的799Gbps攻击。

上周,针对受管DNS提供商动态网络服务(Dyn)发起的DDoS攻击造成了美国东海岸用户无法访问的许多流行网站。

Corero的Larson认为,越来越多的不安全物联网设备与新的放大向量相结合,可能会导致明年的多比特攻击,甚至未来可能达到10Tbps的攻击。
评帖赚银币(0) 收起
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号-4 )

GMT+8, 2024-11-1 21:31 , Processed in 0.072868 second(s), 22 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表