信息來源:FreeBuf
說到網絡安全��,你一定會想起前不久的DDoS攻擊“Mirai”���,導致美國半數(shù)的互聯(lián)網癱瘓�,你一定會覺得那很牛掰吧��,但其實這并不算什么���,要讓DDoS攻擊力更彪悍,現(xiàn)在有一種新方法了�。
LDAP
據Corero網絡安全公司披露,上周發(fā)現(xiàn)一種新型DDoS攻擊媒介針對其客戶發(fā)起攻擊���。這種攻擊技術是一種利用輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol���,LDAP)的放大攻擊,峰值可以達到Tb級別���。LDAP是訪問類似Active Directory數(shù)據庫用戶名和密碼使用最廣泛的協(xié)議��。它是基于X.500標準的���,但是簡單多了并且可以根據需要定制。與X.500不同�,LDAP支持TCP/IP,這對訪問Internet是必須的。
LDAP模式
LDAP DDoS攻擊其實是安全領域的新事物�,這種LDAP協(xié)議可能會被黑客濫用,然后推動大規(guī)模的DDoS攻擊����。
據Corero公司網絡安全專家披露,他們已經發(fā)現(xiàn)了LDAP DDoS攻擊的實例����。在這起攻擊中,黑客利用了CLDAP協(xié)議中的零日漏洞來發(fā)起攻擊�,其實在之前就發(fā)生過類似的攻擊。更令人擔心的是����,專家認為這將有可能成為黑客的又一個選擇。
聞所未聞���,黑客利用LDAP協(xié)議的漏洞實施攻擊可以讓放大系數(shù)達到46����,在特定條件下��,峰值甚至能達到55�。
Corero的安全專家解釋了黑客如何利用CLDAP進行攻擊:
攻擊者可以從偽造地址(受害人地址)向支持CLDAP(無連接輕量級目錄訪問協(xié)議)的服務器發(fā)送一個請求����。當LDAP服務器處理請求之后����,便會向發(fā)送人的地址發(fā)送回復。而LDAP服務器準備發(fā)送的回復內容是原請求內容的數(shù)倍��。
正是由于LDAP服務器回復的內容是原請求內容的數(shù)倍��,所以放大技術才允許慣犯擴大他們攻擊的規(guī)模�。在受攻擊的情況下��,LDAP服務器的響應能夠達到非常高的帶寬��,就像我們已經看到的那樣����,平均放大系數(shù)為46倍,而在攻擊高峰期�,這個數(shù)值更是達到了55倍。
LDAP DDoS IOT
LDAP DDoS攻擊能夠導致非常嚴重的后果�,有專家指出,這種攻擊產生的通信流量峰值能達到每秒數(shù)萬兆����。試想一下��,網絡擁堵會達到什么地步����?
Corero公司CTO/COO Dave Larson:
這種媒介的出現(xiàn)�,是原本就已經很危險的DDoS攻擊如虎添翼,將使DDoS更可怕�。當與其他方式,特別是與IoT僵尸網絡結合后���,我們會發(fā)現(xiàn)����,這種攻擊會達到前所未有的規(guī)模�,并且影響深遠。千兆級別的攻擊將會成為現(xiàn)實�、常態(tài),互聯(lián)網的可用性也可能會受到極大的影響——至少��,在某些地方��,可用性將會降低���。
同時����,Dave還表示:
LDAP不是第一個,當然也不會是最后一個被LDAP DDoS利用的協(xié)議或服務����。之所以會發(fā)生諸如此次的攻擊事件,就是因為網絡上的開放式服務器會對偽造記錄請求進行響應��。當然��,通過正確的方式�,也能減少這種攻擊的發(fā)生����。比如,加強檢測��,在偽造的IP地址進入網絡前就識別出來����。最常見的做法就是,在路由器配置過程中����,采用入口過濾技術根除偽造IP地址����,這樣將會使反射型DDoS總量減少一個數(shù)量級��。
*參考來源:corero���,securityaffairs���,F(xiàn)B小編latiaojun編譯,轉載請注明來自FreeBuf.COM
