CLDAP リフレクション DDoS

Akamai Security Intelligence Response Team(SIRT)は、最近になって Connection-less Lightweight Directory Access Protocol(CLDAP)を利用した新しいリフレクションおよび増幅の手法を特定しました。このアドバイザリでは、この新しいタイプのリフレクション攻撃の能力と攻撃に対する防御の可能性を分析しています。

著者:Jose Arteaga & Wilber Mejia

1.0/概要/

2016 年 10 月 14 日、Akamai Security Operation Center(SOC)は、Connection-less Lightweight Directory Access Protocol(CLDAP)リフレクションの疑いがある攻撃の緩和を開始しました。この新しいリフレクションおよび増幅の手法は、Akamai Security Intelligence Response Team(SIRT)によって確認されており、この手法で生成される分散型サービス妨害(DDoS)攻撃が観測されました。これは、1 Gbps を超えるドメイン・ネーム・システム(DNS)リフレクション攻撃に匹敵する規模です。

他の多くのリフレクション攻撃や増幅攻撃のベクトルと同様に、このような攻撃は組織に適切な侵入フィルターが配置されていれば不可能なものです。攻撃の対象となり得るホストは、インターネットスキャンとユーザー・データグラム・プロトコル(UDP)宛先ポート 389 を使用して検出でき、それによって攻撃を生み出す可能性のある別のホストの発見を回避できます。このアドバイザリには、これらのソースの分布、攻撃の方法、および検出された対象業界についての記述が含まれています。

2.0/攻撃のタイムライン/

2016 年 10 月以降、Akamai は合計 50 回の CLDAP リフレクション攻撃を検出して緩和してきましたが、そのうち 33 回は CLDAP リフレクションのみを使用する単一ベクトル攻撃でした。図 1 は攻撃のタイムラインを表したもので、攻撃規模および単一ベクトル攻撃とマルチベクトル攻撃のどちらであるかを詳細に示しています。

CLDAP Reflection DDoS Attack Timeline

通常、攻撃の最大の標的はゲーム業界ですが、観測された CLDAP 攻撃の主な標的はソフトウェアおよびテクノロジー業界とその他の 6 つの業界でした。

Number of CLDAP Reflection Attacks By Industry

2.1/主な攻撃属性/

2017 年 1 月 7 日、CLDAP リフレクションを単一ベクトルとして使用した最大の DDoS 攻撃が Akamai によって観測され、緩和されました。攻撃の属性は、以下のとおりです。

  • 業種:インターネット & 電気通信
  • ピーク帯域幅:24 ギガビット/秒
  • ピークパケット/秒:2,000,000 パケット/秒
  • 攻撃ベクトル:CLDAP
  • ソースポート:389
  • 宛先ポート:ランダム

CLDAP Reflection Attack Signature

この攻撃の特徴は、衝撃的な増幅要因の利用が可能であることを示しています。CLDAP を利用した最初の数回の攻撃の後、Akamai SIRT は悪質な Lightweight Directory Access Protocol(CLDAP)リフレクションクエリーのサンプルを入手することができました。クエリーのペイロードはわずか 52 バイトでした。詳細は、「攻撃と CLDAP の概要」セクションで説明しています。これは、攻撃データペイロードが 3,662 バイトで、クエリーペイロードが 52 バイトである Base Amplification Factor(BAF)が 70x であったにもかかわらず、そのような応答サイズに匹敵するホストは 1 つしかなかったことを意味します。攻撃後の分析では、この攻撃中の平均増幅が 56.89x であったことを示しています。

この 24 Gbps の攻撃は、これまで Akamai が緩和した中で最大規模の攻撃でした。これとは対照的に、このベクトルを使用した攻撃のうち、Akamai が観測した中で最も規模の小さい攻撃は 300 Mbps であり、CLDAP 攻撃の平均攻撃帯域幅は 3 Gbps でした。