CLDAP DDoS 反射

Akamai 安全智能响应团队 (SIRT) 发现了一种采用无连接轻量级目录访问协议 (CLDAP) 的新型反射和放大方法。此报告分析了这种新型反射攻击的破坏力和可以采取的防御措施。

作者:Jose Arteaga 和 Wilber Mejia

1.0 / 概述 /

2016 年 10 月 14 日,Akamai 安全运营中心 (SOC) 开始抵御疑似无连接轻量级目录访问协议 (CLDAP) 反射的攻击。Akamai 安全智能响应团队 (SIRT) 已确认这种新型反射和放大方法,并观测到它已在发动分布式拒绝服务 (DDOS) 攻击。这种攻击堪比域名系统 (DNS) 反射攻击,因为其规模大部分都超过了 1 Gbps。

与众多其他反射和放大攻击向量类似,如果开启了适当的入口过滤功能,这种攻击就无法入侵。通过使用互联网扫描并过滤用户数据报协议 (UDP) 目标端口 389,可以发现具有潜在威胁的主机,从而避免遭受更多有害主机发起的攻击。此报告将涵盖已观测到的攻击源分布情况、攻击方法和目标行业。

2.0 / 攻击时间表 /

自 2016 年 10 月以来,Akamai 总共检测并抵御了 50 次 CLDAP 反射攻击。在这 50 次攻击事件中,有 33 次属于专门使用 CLDAP 反射的单向量攻击。图 1 提供了攻击的时间表,并显示了攻击的规模,以及其属于单向量还是多向量攻击。

CLDAP Reflection DDoS Attack Timeline

虽然游戏行业通常是遭受攻击频率最高的行业,但观测到的 CLDAP 攻击主要针对软件和技术以及其他 6 个行业。

Number of CLDAP Reflection Attacks By Industry

2.1 / 攻击的显著属性 /

2017 年 1 月 7 日,Akamai 观测到并抵御了将 CLDAP 反射用作唯一向量的最大型 DDoS 攻击。攻击属性如下所示:

  • 行业类别:互联网和电信
  • 峰值带宽:24 千兆/秒
  • 每秒数据包峰值:每秒 2 百万个数据包
  • 攻击向量:CLDAP
  • 源端口:389
  • 目标端口:随机

CLDAP Reflection Attack Signature

此攻击的特征码表明,其放大因数令人惊异。前几波利用 CLDAP 的攻击过后,Akamai SIRT 获取了恶意轻量级目录访问协议 (LDAP) 反射查询的样本。查询的有效负载仅为 52 字节。该问题将在“攻击和 CLDAP 概述”部分进一步论述。攻击数据的有效负载为 3,662 字节,而查询的有效负载仅为 52 字节,这意味着该攻击的基本放大因数 (BAF) 是 70x — 尽管只有一台主机显示了这一响应大小。攻击后的分析表明,这次攻击的平均放大因数是 56.89x。

此 24 Gbps 攻击是目前 Akamai 抵御的最大规模的攻击。根据 Akamai 的观测,使用此向量的最小规模的攻击是 300 Mbps,CLDAP 攻击的平均攻击带宽为 3 Gbps。