攻擊者現在濫用暴露的LDAP服務器來擴大DDoS攻擊.遠程控制軟件,灰鴿子下載

admin

攻擊者現在濫用暴露的LDAP服務器來擴大DDoS攻擊.遠程控制軟件,灰鴿子下載

LDAP增加了現有的DDoS反射和放大技術，可以產生大量的攻擊
攻擊者濫用另一個廣泛使用的協議，以擴大分布式拒絕服務攻擊：輕量級目錄訪問協議（LDAP），用于企業(yè)網絡上的目錄服務。
DDoS緩解提供商Corero Network Security最近觀察到對其客戶的攻擊，通過無連接LDAP（CLDAP）反映和擴展，LDAP是LDAP的一種變體，它使用用戶數據報協議（UDP）進行傳輸。

DDoS反射是將使用欺騙性源IP地址的請求發(fā)送到因特網上的各種服務器的做法，其然后將其響應指向該地址而不是真實的發(fā)送者。偽造的IP地址是預期受害者的IP地址。
請求發(fā)送到通過UDP工作的各種服務，因為與傳輸控制協議（TCP）不同，此傳輸協議不驗證源地址。迄今為止濫用于DDoS反射的服務包括域名系統（DNS），網絡時間協議（NTP），簡單網絡管理協議（SNMP），簡單服務發(fā)現協議（SSDP）和字符生成器協議CHARGEN）。 CLDAP只是列表中的最新添加項。

DDoS反射具有隱藏來自受害者的真實攻擊源的屬性，因為流量通過第三方服務器反射，但是還有另一個更重要的原因，攻擊者喜歡它：它的放大效應。

大多數用于反射的協議也允許攻擊者使用小查詢觸發(fā)大響應。這意味著攻擊者可以放大他們可能產生的流量。

雖然LDAP在企業(yè)網絡中廣泛使用，但它在互聯網上的使用被認為是有風險的，并且是高度不鼓勵的。這并不意味著沒有可公開訪問的LDAP服務器：SHODAN搜索引擎顯示超過140,000個系統響應通過端口389的請求，這是用于LDAP  - 其中近6萬個位于美國。

不清楚這些服務器中有多少服務器通過TCP和UDP接受連接，因此可能被濫用于DDoS放大，但即使其中一小部分也能夠產生大型攻擊。這是因為根據Corero，CLDAP（LDAP over UDP）的平均放大系數為46x，峰值為55x。

這意味著攻擊者可以生成大小比觸發(fā)它們的查詢大50倍的響應，并且服務器通常具有比通常構成DDoS僵尸網絡的家庭計算機和消費者設備更大的帶寬。

此外，今天的DDoS攻擊結合了多種技術。例如，控制大僵尸網絡的攻擊者可以指示其一部分通過LDAP服務器反映其流量，另一部分濫用DNS服務器，另一個執(zhí)行直接SYN洪水或TCP洪水等。根據6月的Akamai報告，今年觀察到的超過60％的DDoS攻擊使用兩種或更多技術。

Corero網絡安全首席技術官Dave Larson說，一個新的零日擴增載體（如LDAP）的問題是它沒有擴散。由于只有少數攻擊者知道它，他們可以使用這些暴露的LDAP服務器的全部容量發(fā)起攻擊。例如，DNS服務器不是這樣，它們已被映射，并被許多攻擊者同時用于反射和放大，限制了他們各自攻擊的大小，他解釋說。

另一件事情是，黑名單已經存在用于DNS，NTP和其他類型的服務器，這些服務器在DDoS攻擊中經常被濫用。對于LDAP服務器，此類列表可能不存在。

近幾個月來，DDoS攻擊的規(guī)模達到了前所未有的程度，部分原因是大量的受到攻擊的物聯網設備。上個月，網絡安全記者Brian Krebs的博客被一個由數千個黑客路由器，IP攝像機和數字視頻錄像機的僵尸網絡發(fā)起的620Gbps DDoS攻擊。幾天后，法國托管公司OVH遭到類似僵尸網絡的799Gbps攻擊。

上周，針對受管DNS提供商動態(tài)網絡服務（Dyn）發(fā)起的DDoS攻擊造成了美國東海岸用戶無法訪問的許多流行網站。

Corero的Larson認為，越來越多的不安全物聯網設備與新的放大向量相結合，可能會導致明年的多比特攻擊，甚至未來可能達到10Tbps的攻擊。