|
|
攻擊者現(xiàn)在濫用暴露的LDAP服務(wù)器來(lái)擴(kuò)大DDoS攻擊.遠(yuǎn)程控制軟件,灰鴿子下載
![]()
LDAP增加了現(xiàn)有的DDoS反射和放大技術(shù)��,可以產(chǎn)生大量的攻擊
攻擊者濫用另一個(gè)廣泛使用的協(xié)議����,以擴(kuò)大分布式拒絕服務(wù)攻擊:輕量級(jí)目錄訪問協(xié)議(LDAP)�����,用于企業(yè)網(wǎng)絡(luò)上的目錄服務(wù)�����。
DDoS緩解提供商Corero Network Security最近觀察到對(duì)其客戶的攻擊���,通過無(wú)連接LDAP(CLDAP)反映和擴(kuò)展����,LDAP是LDAP的一種變體,它使用用戶數(shù)據(jù)報(bào)協(xié)議(UDP)進(jìn)行傳輸���。
DDoS反射是將使用欺騙性源IP地址的請(qǐng)求發(fā)送到因特網(wǎng)上的各種服務(wù)器的做法����,其然后將其響應(yīng)指向該地址而不是真實(shí)的發(fā)送者��。偽造的IP地址是預(yù)期受害者的IP地址����。
請(qǐng)求發(fā)送到通過UDP工作的各種服務(wù)�����,因?yàn)榕c傳輸控制協(xié)議(TCP)不同�����,此傳輸協(xié)議不驗(yàn)證源地址��。迄今為止濫用于DDoS反射的服務(wù)包括域名系統(tǒng)(DNS)�,網(wǎng)絡(luò)時(shí)間協(xié)議(NTP),簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)����,簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)和字符生成器協(xié)議CHARGEN)����。 CLDAP只是列表中的最新添加項(xiàng)���。
DDoS反射具有隱藏來(lái)自受害者的真實(shí)攻擊源的屬性����,因?yàn)榱髁客ㄟ^第三方服務(wù)器反射�����,但是還有另一個(gè)更重要的原因��,攻擊者喜歡它:它的放大效應(yīng)����。
大多數(shù)用于反射的協(xié)議也允許攻擊者使用小查詢觸發(fā)大響應(yīng)。這意味著攻擊者可以放大他們可能產(chǎn)生的流量��。
雖然LDAP在企業(yè)網(wǎng)絡(luò)中廣泛使用����,但它在互聯(lián)網(wǎng)上的使用被認(rèn)為是有風(fēng)險(xiǎn)的,并且是高度不鼓勵(lì)的�����。這并不意味著沒有可公開訪問的LDAP服務(wù)器:SHODAN搜索引擎顯示超過140,000個(gè)系統(tǒng)響應(yīng)通過端口389的請(qǐng)求�,這是用于LDAP - 其中近6萬(wàn)個(gè)位于美國(guó)。
不清楚這些服務(wù)器中有多少服務(wù)器通過TCP和UDP接受連接��,因此可能被濫用于DDoS放大�����,但即使其中一小部分也能夠產(chǎn)生大型攻擊�����。這是因?yàn)楦鶕?jù)Corero�����,CLDAP(LDAP over UDP)的平均放大系數(shù)為46x��,峰值為55x�����。
這意味著攻擊者可以生成大小比觸發(fā)它們的查詢大50倍的響應(yīng)����,并且服務(wù)器通常具有比通常構(gòu)成DDoS僵尸網(wǎng)絡(luò)的家庭計(jì)算機(jī)和消費(fèi)者設(shè)備更大的帶寬。
此外�����,今天的DDoS攻擊結(jié)合了多種技術(shù)�。例如,控制大僵尸網(wǎng)絡(luò)的攻擊者可以指示其一部分通過LDAP服務(wù)器反映其流量�,另一部分濫用DNS服務(wù)器,另一個(gè)執(zhí)行直接SYN洪水或TCP洪水等���。根據(jù)6月的Akamai報(bào)告���,今年觀察到的超過60%的DDoS攻擊使用兩種或更多技術(shù)。
Corero網(wǎng)絡(luò)安全首席技術(shù)官Dave Larson說�����,一個(gè)新的零日擴(kuò)增載體(如LDAP)的問題是它沒有擴(kuò)散��。由于只有少數(shù)攻擊者知道它����,他們可以使用這些暴露的LDAP服務(wù)器的全部容量發(fā)起攻擊�����。例如����,DNS服務(wù)器不是這樣���,它們已被映射�����,并被許多攻擊者同時(shí)用于反射和放大�����,限制了他們各自攻擊的大小,他解釋說����。
另一件事情是,黑名單已經(jīng)存在用于DNS���,NTP和其他類型的服務(wù)器�,這些服務(wù)器在DDoS攻擊中經(jīng)常被濫用。對(duì)于LDAP服務(wù)器��,此類列表可能不存在����。
近幾個(gè)月來(lái),DDoS攻擊的規(guī)模達(dá)到了前所未有的程度�����,部分原因是大量的受到攻擊的物聯(lián)網(wǎng)設(shè)備����。上個(gè)月,網(wǎng)絡(luò)安全記者Brian Krebs的博客被一個(gè)由數(shù)千個(gè)黑客路由器�����,IP攝像機(jī)和數(shù)字視頻錄像機(jī)的僵尸網(wǎng)絡(luò)發(fā)起的620Gbps DDoS攻擊�����。幾天后�����,法國(guó)托管公司OVH遭到類似僵尸網(wǎng)絡(luò)的799Gbps攻擊。
上周�,針對(duì)受管DNS提供商動(dòng)態(tài)網(wǎng)絡(luò)服務(wù)(Dyn)發(fā)起的DDoS攻擊造成了美國(guó)東海岸用戶無(wú)法訪問的許多流行網(wǎng)站。
Corero的Larson認(rèn)為�����,越來(lái)越多的不安全物聯(lián)網(wǎng)設(shè)備與新的放大向量相結(jié)合����,可能會(huì)導(dǎo)致明年的多比特攻擊,甚至未來(lái)可能達(dá)到10Tbps的攻擊���。
|
|
加載中...
發(fā)表于 2016-10-27 13:56:05
收藏