Metodo di riflessione DDoS: CLDAP

Il team SIRT (Security Intelligence Response Team) di Akamai ha recentemente identificato un nuovo metodo di riflessione e amplificazione chiamato CLDAP (Connection-less Lightweight Directory Access Protocol). Questa notifica analizza le funzionalità di questo nuovo tipo di attacco di riflessione e le possibilità di difesa.

Autori: Jose Arteaga e Wilber Mejia

1.0 / Panoramica /

Il 14 ottobre 2016 il SOC (centro operativo per la sicurezza) Akamai ha avviato una mitigazione degli attacchi per un sospetto nuovo metodo di riflessione CLDAP (Connection-less Lightweight Directory Access Protocol). Questo nuovo metodo di riflessione e amplificazione è stato in seguito confermato dal SIRT (Security Intelligence Response Team) di Akamai. Ha generato attacchi DDoS (Distributed Denial of Service) paragonabili ad attacchi di riflessione DNS (Domain Name System) poiché in gran parte superiori a 1 Gbps.

Così come per molti altri vettori di attacco di riflessione e amplificazione, questo attacco non sarebbe possibile se fosse presente un adeguato sistema di filtraggio in ingresso. I potenziali host vengono rilevati tramite scansioni Internet e filtrando la porta di destinazione UDP (User Datagram Protocol) 389, per eliminare il rilevamento di un altro potenziale host responsabile degli attacchi. La notifica è relativa alla distribuzione di tali origini, ai metodi di attacco e ai settori colpiti che sono stati osservati.

2.0 / Cronologia degli attacchi /

Da ottobre 2016, Akamai ha rilevato e mitigato un totale di 50 attacchi di riflessione CLDAP. Di questi 50 eventi di attacco, 33 sono stati a vettore singolo, con l'utilizzo esclusivo della riflessione CLDAP. L'immagine 1 illustra una cronologia degli attacchi, mostrandone le dimensioni e specificando se l'attacco è stato di tipo singolo o multivettore.

CLDAP Reflection DDoS Attack Timeline

Anche se il settore dei giochi è quello solitamente più preso di mira, gran parte degli attacchi CLDAP ha interessato aziende del settore Software e tecnologia, coinvolgendo anche altri sei settori.

Number of CLDAP Reflection Attacks By Industry

2.1 / Attributi in evidenza relativi all'attacco /

Il 7 gennaio 2017 è stato osservato e mitigato da Akamai il più ampio attacco DDoS con l'utilizzo della riflessione CLDAP come unico vettore. Gli attributi dell'attacco sono stati i seguenti:

  • Segmento verticale del settore: Internet e telecomunicazioni
  • Picco di larghezza di banda: 24 gigabit al secondo
  • Picco di pacchetti al secondo: 2 milioni di pacchetti al secondo
  • Vettore di attacco: CLDAP
  • Porta di origine: 389
  • Porta di destinazione: Casuale

CLDAP Reflection Attack Signature

Le firme dell'attacco ne rivelano la capacità di utilizzare fattori di amplificazione straordinari. Dopo le prime ondate di attacchi tramite CLDAP, il SIRT di Akamai è stato in grado di ottenere alcune query di riflessione LDAP (Lightweight Directory Access Protocol) di carattere dannoso di esempio. Il payload delle query è di soli 52 byte e viene trattato in maniera più approfondita nella sezione relativa alla panoramica degli attacchi e di CLDAP. Ciò significa che il BAF o fattore di amplificazione di base (Base Amplification Factor) per il payload dei dati dell'attacco di 3.662 byte e il payload delle query di 52 byte è stato pari a 70 volte rispetto al valore originario, anche se solo un host ha presentato una dimensione delle risposte simile. L'analisi post-attacco ha mostrato come l'amplificazione media nel corso dell'attacco sia stata di 56,89 volte.

Questo attacco da 24 Gbps è stato il più ampio attacco mitigato finora da Akamai. Di contro, l'attacco più piccolo generato utilizzando questo vettore osservato da Akamai è stato di 300 Mbps e la larghezza di banda di attacco media per un attacco CLDAP è stata di 3 Gbps.