Corero:發現新的TB級攻擊形式CLDAP DDoS
責編:mhshi |2016-11-02 09:49:43Corero網絡安全公司發現一種新的0Day分布式拒絕服務攻擊(DDoS)向量,TB級DDoS攻擊將越來越多。此技術可使攻擊流量放大46倍,最高可達55倍。攻擊者可向支持無連接的LDAP(CLDAP)服務的脆弱反射器發送一個簡單的查詢請求,通過利用地址偽造方法,使此請求看上去像是從目標受害者發起的。
這種新的零日攻擊向量在一次實際事件中發現,它依賴輕量級目錄訪問協議(LDAP)。LDAP協議用于訪問數據庫(如活動目錄)中的用戶名和密碼信息。安全研究人員稱,網絡犯罪分子通過放大攻擊流量,可對攻擊目標造成重大損害。
Corero公司是做什么的
據其官方資料顯示,Corero 主要針對托管和互聯網服務提供商和企業,提供大范圍分布式拒絕服務攻擊,提供?DDoS?保護和緩解服務。
CLDAP DDoS攻擊可實現每秒幾十TB的攻擊流量
因為CLDAP服務將向偽造的地址返回響應,因此,那些不必要的網絡流量將被立即發送至攻擊者的預期目標。再者,攻擊者可利用放大技術提升攻擊強度。這是因為LDAP服務器產生的響應報文要比攻擊者的查詢報文要大得多。
該安全公司稱,“在這種情況下,LDAP服務響應會占用很大帶寬,且其流量平均放大46倍,最高可達55倍。” 我們發現,CLDAP零日漏洞在上周被用于在短時間內發動了強大攻擊,且預計將對最近的大規模攻擊事件向小型攻擊的轉變產生影響。
安全研究人員稱,實際攻擊中利用此技術可導致每秒高達數十TB的攻擊流量。如果此零日DDoS攻擊向量與物聯網僵尸網絡如Mirai結合,就可能會實現此類攻擊。Mirai最近被用于向布萊恩·克雷布斯(Brian Krebs)的網站發起655 Gbps攻擊。
CLDAP是什么
LDAP?是用于訪問和維護分布式的目錄信息服務的互聯網協議?(IP)?網絡上開放的標準應用協議。
CLDAP(Connection-less Lightweight Directory Access Protocol )無連接輕量級目錄訪問協議 (CLDAP) [RFC1798] 是在1995 年提出的標準。 協議被應用于需要在目錄中列舉少量信息,以查找應用程序。 協議在面向連接的目錄訪問協議避免了建立 (和關閉) 連接和會話綁定和取消綁定操作所需的開銷。
基于不同協議的DDoS攻擊+基于僵尸網絡的DDoS攻擊 需要自動化緩解技術
研究人員表示,隨著Mirai的源代碼已在網上公開,成千上萬的物聯網設備被發現受此僵尸網絡的影響,且利用該僵尸網絡的攻擊數量見漲,DDoS攻擊在可預見的未來或將風云多變。實際上,Mirai已被用于了針對DNS提供商Dyn的攻擊中。
Corero網絡安全攻擊的首席技術官和首席運營官大衛·萊森(Dave Larson)解釋道:“這種攻擊向量如果與其他方法結合,如物聯網僵尸網絡,將會使攻擊達到之前難以想象的規模,產生深遠影響。TB級攻擊將很快會成為一個普遍現實,會嚴重影響互聯網的可用性,至少在某些區域可降低其能力。”
同時,萊森表示目前的DDoS攻擊的自動化能力日益增強,攻擊者切換向量的速度比人們的響應速度快。因此,我們需要自動化的緩解技術,有效保護網絡免受此類DDoS攻擊向量的影響。他還補充道,鑒于此類攻擊持續時間短且流量大,舊有的解決方案無法檢測并有效緩解此類攻擊。
來源:安全加