|
|
攻擊者現(xiàn)在濫用暴露的LDAP服務(wù)器來(lái)擴(kuò)大DDoS攻擊.遠(yuǎn)程控制軟件,灰鴿子下載
![]()
LDAP增加了現(xiàn)有的DDoS反射和放大技術(shù)��,可以產(chǎn)生大量的攻擊
攻擊者濫用另一個(gè)廣泛使用的協(xié)議�����,以擴(kuò)大分布式拒絕服務(wù)攻擊:輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP),用于企業(yè)網(wǎng)絡(luò)上的目錄服務(wù)��。
DDoS緩解提供商Corero Network Security最近觀察到對(duì)其客戶的攻擊��,通過(guò)無(wú)連接LDAP(CLDAP)反映和擴(kuò)展�����,LDAP是LDAP的一種變體�����,它使用用戶數(shù)據(jù)報(bào)協(xié)議(UDP)進(jìn)行傳輸�����。
DDoS反射是將使用欺騙性源IP地址的請(qǐng)求發(fā)送到因特網(wǎng)上的各種服務(wù)器的做法����,其然后將其響應(yīng)指向該地址而不是真實(shí)的發(fā)送者��。偽造的IP地址是預(yù)期受害者的IP地址����。
請(qǐng)求發(fā)送到通過(guò)UDP工作的各種服務(wù)�����,因?yàn)榕c傳輸控制協(xié)議(TCP)不同����,此傳輸協(xié)議不驗(yàn)證源地址����。迄今為止濫用于DDoS反射的服務(wù)包括域名系統(tǒng)(DNS),網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)��,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)��,簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)和字符生成器協(xié)議CHARGEN)�����。 CLDAP只是列表中的最新添加項(xiàng)�����。
DDoS反射具有隱藏來(lái)自受害者的真實(shí)攻擊源的屬性��,因?yàn)榱髁客ㄟ^(guò)第三方服務(wù)器反射,但是還有另一個(gè)更重要的原因�����,攻擊者喜歡它:它的放大效應(yīng)�����。
大多數(shù)用于反射的協(xié)議也允許攻擊者使用小查詢觸發(fā)大響應(yīng)�����。這意味著攻擊者可以放大他們可能產(chǎn)生的流量����。
雖然LDAP在企業(yè)網(wǎng)絡(luò)中廣泛使用��,但它在互聯(lián)網(wǎng)上的使用被認(rèn)為是有風(fēng)險(xiǎn)的��,并且是高度不鼓勵(lì)的����。這并不意味著沒(méi)有可公開(kāi)訪問(wèn)的LDAP服務(wù)器:SHODAN搜索引擎顯示超過(guò)140,000個(gè)系統(tǒng)響應(yīng)通過(guò)端口389的請(qǐng)求,這是用于LDAP - 其中近6萬(wàn)個(gè)位于美國(guó)����。
不清楚這些服務(wù)器中有多少服務(wù)器通過(guò)TCP和UDP接受連接��,因此可能被濫用于DDoS放大�����,但即使其中一小部分也能夠產(chǎn)生大型攻擊����。這是因?yàn)楦鶕?jù)Corero�����,CLDAP(LDAP over UDP)的平均放大系數(shù)為46x�����,峰值為55x�����。
這意味著攻擊者可以生成大小比觸發(fā)它們的查詢大50倍的響應(yīng)����,并且服務(wù)器通常具有比通常構(gòu)成DDoS僵尸網(wǎng)絡(luò)的家庭計(jì)算機(jī)和消費(fèi)者設(shè)備更大的帶寬�����。
此外����,今天的DDoS攻擊結(jié)合了多種技術(shù)��。例如��,控制大僵尸網(wǎng)絡(luò)的攻擊者可以指示其一部分通過(guò)LDAP服務(wù)器反映其流量����,另一部分濫用DNS服務(wù)器,另一個(gè)執(zhí)行直接SYN洪水或TCP洪水等��。根據(jù)6月的Akamai報(bào)告��,今年觀察到的超過(guò)60%的DDoS攻擊使用兩種或更多技術(shù)����。
Corero網(wǎng)絡(luò)安全首席技術(shù)官Dave Larson說(shuō)�����,一個(gè)新的零日擴(kuò)增載體(如LDAP)的問(wèn)題是它沒(méi)有擴(kuò)散。由于只有少數(shù)攻擊者知道它����,他們可以使用這些暴露的LDAP服務(wù)器的全部容量發(fā)起攻擊。例如�����,DNS服務(wù)器不是這樣����,它們已被映射,并被許多攻擊者同時(shí)用于反射和放大��,限制了他們各自攻擊的大小�����,他解釋說(shuō)����。
另一件事情是,黑名單已經(jīng)存在用于DNS��,NTP和其他類(lèi)型的服務(wù)器��,這些服務(wù)器在DDoS攻擊中經(jīng)常被濫用。對(duì)于LDAP服務(wù)器�����,此類(lèi)列表可能不存在����。
近幾個(gè)月來(lái),DDoS攻擊的規(guī)模達(dá)到了前所未有的程度�����,部分原因是大量的受到攻擊的物聯(lián)網(wǎng)設(shè)備����。上個(gè)月,網(wǎng)絡(luò)安全記者Brian Krebs的博客被一個(gè)由數(shù)千個(gè)黑客路由器��,IP攝像機(jī)和數(shù)字視頻錄像機(jī)的僵尸網(wǎng)絡(luò)發(fā)起的620Gbps DDoS攻擊����。幾天后,法國(guó)托管公司OVH遭到類(lèi)似僵尸網(wǎng)絡(luò)的799Gbps攻擊�����。
上周����,針對(duì)受管DNS提供商動(dòng)態(tài)網(wǎng)絡(luò)服務(wù)(Dyn)發(fā)起的DDoS攻擊造成了美國(guó)東海岸用戶無(wú)法訪問(wèn)的許多流行網(wǎng)站。
Corero的Larson認(rèn)為�����,越來(lái)越多的不安全物聯(lián)網(wǎng)設(shè)備與新的放大向量相結(jié)合�����,可能會(huì)導(dǎo)致明年的多比特攻擊��,甚至未來(lái)可能達(dá)到10Tbps的攻擊�����。
|
|
加載中...
發(fā)表于 2016-10-27 13:56:05
收藏