Attaques DDoS par réflexion CLDAP

L'équipe Akamai Security Intelligence Response Team (SIRT) a récemment identifié une nouvelle méthode de réflexion et d'amplification de protocole léger d'accès aux annuaires sans connexion (CLDAP). Cette alerte présente l'analyse des caractéristiques de ce nouveau type d'attaque par réflexion ainsi que les moyens potentiels de s'en protéger.

Auteurs : Jose Arteaga et Wilber Mejia

1.0 / Présentation /

Le 14 octobre 2016, le centre d'opérations de sécurité (soc) d'Akamai a du se défendre contre une série d'attaques supposées reposer sur une réflexion de protocole léger d'accès aux annuaires sans connexion (CLDAP). L'équipe Akamai Security Intelligence Response Team (SIRT) a depuis confirmé l'existence de cette nouvelle méthode de réflexion et d'amplification dont elle a observé la production d'attaques par déni de service distribué (DDoS). Ces attaques sont comparables à la réflexion par système de noms de domaine (DNS) en ce sens que la plupart dépassent 1 Gbit/s.

Comme de nombreux autres vecteurs de réflexion et d'amplification, cette méthode n'aurait aucun effet face à un filtrage approprié des entrées. Les hôtes potentiels sont détectés par analyse sur Internet et par filtrage du port de destination UDP (User Datagram Protocol) 389 afin d'éliminer la détection potentielle d'un autre hôte générateur d'attaques. Cette alerte traite de la répartition de ces sources, des méthodes d'attaque et des secteurs ciblés observés.

2.0 / Historique de l'attaque /

Depuis octobre 2016, Akamai a détecté et contré un total de 50 attaques par réflexion CLDAP. 33 de ces 50 attaques étaient à vecteur unique et reposaient exclusivement sur la réflexion CLDAP. La figure 1 affiche l'historique et la taille des attaques et précise si l'attaque était à vecteur unique ou multiple.

CLDAP Reflection DDoS Attack Timeline

Bien que le secteur des jeux vidéo soit le secteur le plus fréquemment ciblé, les attaques CLDAP observées étaient principalement dirigées vers le secteur des technologies et des logiciels ainsi que six autres secteurs.

Number of CLDAP Reflection Attacks By Industry

2.1 / Attributs d'attaques mis en évidence /

Le 7 janvier 2017, Akamai a observé et neutralisé l'attaque DDoS à vecteur unique par réflexion CLDAP la plus massive jamais enregistrée. L'attaque comportait les attributs suivants :

  • Segment de marché : Internet et télécoms
  • Pic de bande passante : 24 gigabits par seconde
  • Pic des paquets par seconde : 2 millions de paquets par seconde
  • Vecteur d'attaque : CLDAP
  • Port source : 389
  • Port de destination : aléatoire

CLDAP Reflection Attack Signature

Les signatures de cette attaque révèlent qu'elle recèle d'impressionnants facteurs d'amplification. Après les premières vagues d'attaques basées sur CLDAP, l'équipe SIRT d'Akamai a pu récupérer des échantillons de requêtes malveillantes de réflexion de protocole léger d'accès aux annuaires (LDAP). La charge utile par requête s'élève à 52 octets seulement ; nous l'aborderons plus tard dans la section Présentation de l'attaque et du CLDAP. Cela signifie que le facteur d'amplification de base (BAF) pour la charge utile de l'attaque de 3 662 octets, avec une charge utile par requête de 52 octets, a atteint 70x, même si nous avons déterminé qu'un seul hôte avait produit ce volume de réponse. Les analyses consécutives à l'attaque ont montré que le taux d'amplification moyen au cours de cette attaque s'élevait à 56,89x.

Cette attaque à 24 Gbit/s était la plus massive jamais neutralisée par Akamai. Par contraste, l'attaque la moins importante basée sur ce vecteur observée par Akamai culminait à 300 Mbit/s. Quant à la bande passante moyenne d'une attaque CLDAP, elle atteignait 3 Gbit/s.