CLDAP-Reflection-DDoS

Das Akamai Security Intelligence Response Team (SIRT) entdeckte kürzlich eine neue Reflection- und Verstärkungsmethode für das Connection-less Lightweight Directory Access Protocol (CLDAP). In diesem Ratgeber werden die Möglichkeiten und potenziellen Verteidigungsstrategien gegen diese neue Art von Reflection-Angriffen analysiert.

Autoren: Jose Arteaga und Wilber Mejia

1.0 / Übersicht /

Am 14. Oktober 2016 begann das Akamai Security Operation Center (SOC), Angriffe abzuschwächen, bei denen es sich augenscheinlich um Reflection des Connection-less Lighweight Directory Access Protocol (CLDAP) handelte. Diese neue Reflection- und Verstärkungsmethode wurde seit dem vom Akamai Security Intelligence Response Team (SIRT) bestätigt, und es wurde beobachtet, dass Distributed-Denial-of-Service (DDos)-Angriffe erzeugt wurden, die mit Domain-Name-System (DNS)-Reflection vergleichbar sind, wobei die meisten 1 Gbit/s übersteigen.

Wie bei vielen anderen Vektoren von Reflection- und Verstärkungsangriffen würde es gar nicht dazu kommen, wenn eine geeignete Eingangsfilterung stattfinden würde. Potenzielle Hosts werden durch Internetscans gefunden und nach dem User-Datagram-Protocol (UDP)-Zielport 389 gefiltert, um die Entdeckung eines anderen möglichen Hosts, der eine Angriffsfläche bieten könnte, zu verhindern. Dieser Ratgeber behandelt die Verteilung dieser Quellen, Angriffsmethoden und die Zielbranchen, die dabei am häufigsten anvisiert werden.

2.0 / Zeitlicher Verlauf der Angriffe

Seit Oktober 2016 hat Akamai insgesamt 50 CLDAP-Reflection-Attacken entdeckt und abgeschwächt. Von diesen 50 Angriffen handelte es sich bei 33 um Einzelvektorangriffe, bei denen ausschließlich CLDAP-Reflection verwendet wurde. Abbildung 1 zeigt den Verlauf der Angriffe mit Angriffsgröße und Informationen dazu, ob es sich um eine Einzel- oder eine Multivektorattacke handelte.

CLDAP Reflection DDoS Attack Timeline

Während in der Regel die Gaming-Branche am häufigsten von Angriffen betroffen ist, zielten die beobachteten CLDAP-Attacken größtenteils auf die Software- und Technologiebranche zusammen mit sechs weiteren Branchen ab.

Number of CLDAP Reflection Attacks By Industry

2.1 / Merkmale eines Beispielangriffs

Am 7. Januar 2017 wurde der größte DDoS-Angriff mit CLDAP-Reflection als einzigem Vektor von Akamai beobachtet und abgeschwächt. Der Angriff kennzeichnete sich durch folgende Merkmale:

  • Branchen: Internet und Telekommunikation
  • Spitzenbandbreite: 24 Gbit/s
  • Pakete pro Sekunde in Spitzenzeiten: 2 Millionen Pakete pro Sekunde
  • Angriffsvektor: CLDAP
  • Quellport: 389
  • Zielport: Willkürlich

CLDAP Reflection Attack Signature

Signaturen dieses Angriffs verraten, dass er eindrucksvolle Verstärkungsfaktoren erzeugen kann. Nach den ersten Angriffswellen mit CLDAP konnte das Akamai SIRT Beispiele für bösartige Abfragen durch Lighweight-Directory-Access-Protocol (LDAP)-Reflection sammeln. Die Abfragenutzlast beträgt nur 52 Byte und wird im Abschnitt „Angriffs- und CLDAP-Überblick“ näher beschrieben. Das bedeutet, dass der grundlegende Verstärkungsfaktor (Base Amplification Factor, BAF) der Angriffsdatennutzlast von 3662 Byte und einer Abfragenutzlast von 52 Byte 70x betrug, obwohl nur ein Host diese Antwortgröße zeigte. Eine Analyse nach den Angriffen zeigte, dass die durchschnittliche Verstärkung während des Angriffs 56,89x betrug.

Dieser Angriff mit 24 Gbit/s war der größte, den Akamai bisher abgefangen hat. Im Gegensatz dazu betrug der kleinste von Akamai beobachtete Angriff mit diesem Vektor 300 Mbit/s, und die durchschnittliche Angriffsbandbreite bei einer CLDAP-Attacke lag bei 3 Gbit/s.