CLDAP Reflection DDoS

A Equipe de Resposta de Inteligência de Segurança (SIRT) da Akamai identificou recentemente um novo método de reflexo e amplificação de CLDAP (Connection-less Lightweight Directory Access Protocol). Este comunicado analisa as capacidades e as possíveis defesas contra este novo tipo de ataque de reflexão.

Autores: Jose Arteaga e Wilber Mejia

1.0 / Visão geral /

Em 14 de outubro de 2016, o Security Operation Center (SOC) da Akamai começou a atenuar ataques para o que era suspeito de ser reflexo do protocolo CLDAP (Connection-less Lightweight Directory Access Protocol). Este novo método de reflexão e amplificação foi confirmado pela Equipe de Resposta de Inteligência de Segurança (SIRT) da Akamai e foi observado produzindo ataques DDoS (Distributed Denial of Service) comparáveis aos de reflexão de DNS (Sistema de Nomes de Domínio) em que se excede 1 Gbps.

Assim como muitos outros vetores de ataque de reflexão e amplificação, é algo que não seria possível se houvesse uma filtragem de entrada adequada em vigor. Hosts em potencial são descobertos usando-se varreduras da Internet e filtrando a porta de destino 389 do UDP (User Datagram Protocol) para eliminar a descoberta de outros possíveis ataques de abastecimento de host. Este comunicado cobrirá a distribuição dessas fontes, métodos de ataque e setores visados observados.

2.0 / Linha de tempo do ataque /

Desde outubro de 2016, a Akamai detectou e atenuou um total de 50 ataques de reflexão de CLDAP. Desses 50 eventos de ataque, 33 foram ataques de vetor únicos que usavam exclusivamente o reflexo do CLDAP. A Figura 1 fornece uma linha de tempo dos ataques, mostrando o tamanho do ataque e detalhando se o ataque foi um ou vários vetores.

CLDAP Reflection DDoS Attack Timeline

Embora o setor de jogos seja geralmente o mais visado para ataques, os ataques de CLDAP observados têm visado principalmente o setor de software e tecnologia, juntamente com outros seis setores.

Number of CLDAP Reflection Attacks By Industry

2.1 / Atributos do ataque destacados /

Em 7 de janeiro de 2017, o maior ataque DDoS usando reflexão de CLDAP como o único vetor foi observado e atenuado pela Akamai. Os atributos do ataque foram os seguintes:

  • Segmentos verticais do setor: Internet e Telecom
  • Pico de largura de banda: 24 Gigabits por segundo
  • Pico de pacotes por segundo: 2 milhões de pacotes por segundo
  • Vetor de ataque: CLDAP
  • Porta de origem: 389
  • Portas de destino: Aleatória

CLDAP Reflection Attack Signature

As assinaturas desse ataque revelam que ele é capaz de fatores de amplificação impressionantes. Após as primeiras ondas de ataques usando o CLDAP, a SIRT da Akamai conseguiu obter amostras de consultas de reflexão LDAP (Lightweight Directory Access Protocol) mal-intencionadas. A carga útil da consulta é de apenas 52 bytes e é discutida mais detalhadamente na seção "Visão geral de ataque e CLDAP". Isso significa que o fator de amplificação de base (BAF) para a carga útil dos dados de ataque de 3.662 bytes e uma carga útil de consulta de 52 bytes foi de 70x, embora apenas um host tenha sido revelado para exibir esse tamanho de resposta. A análise pós-ataque mostrou que a amplificação média durante o ataque foi de 56,89x.

Esse ataque de 24 Gbps foi o maior atenuado pela Akamai até hoje. Em contraste, o menor ataque observado que a Akamai observou usando esse vetor era de 300 Mbps, e a largura de banda média do ataque para um ataque de CLDAP tem sido de 3 Gbps.