Corero网络安全公司发现一种新的0Day分布式拒绝服务攻击(DDoS)向量,TB级DDoS攻击将越来越多。此技术可使攻击流量放大46倍,最高可达55倍。攻击者可向支持无连接的LDAP(CLDAP)服务的脆弱反射器发送一个简单的查询请求,通过利用地址伪造方法,使此请求看上去像是从目标受害者发起的。
这种新的零日攻击向量在一次实际事件中发现,它依赖轻量级目录访问协议(LDAP)。LDAP协议用于访问数据库(如活动目录)中的用户名和密码信息。安全研究人员称,网络犯罪分子通过放大攻击流量,可对攻击目标造成重大损害。
Corero公司是做什么的
据其官方资料显示,Corero 主要针对托管和互联网服务提供商和企业,提供大范围分布式拒绝服务攻击,提供 DDoS 保护和缓解服务。
CLDAP DDoS攻击可实现每秒几十TB的攻击流量
因为CLDAP服务将向伪造的地址返回响应,因此,那些不必要的网络流量将被立即发送至攻击者的预期目标。再者,攻击者可利用放大技术提升攻击强度。这是因为LDAP服务器产生的响应报文要比攻击者的查询报文要大得多。
该安全公司称,“在这种情况下,LDAP服务响应会占用很大带宽,且其流量平均放大46倍,最高可达55倍。” 我们发现,CLDAP零日漏洞在上周被用于在短时间内发动了强大攻击,且预计将对最近的大规模攻击事件向小型攻击的转变产生影响。
安全研究人员称,实际攻击中利用此技术可导致每秒高达数十TB的攻击流量。如果此零日DDoS攻击向量与物联网僵尸网络如Mirai结合,就可能会实现此类攻击。Mirai最近被用于向布莱恩·克雷布斯(Brian Krebs)的网站发起655 Gbps攻击。
CLDAP是什么
LDAP 是用于访问和维护分布式的目录信息服务的互联网协议 (IP) 网络上开放的标准应用协议。
CLDAP(Connection-less Lightweight Directory Access Protocol )无连接轻量级目录访问协议 (CLDAP) [RFC1798] 是在1995 年提出的标准。 协议被应用于需要在目录中列举少量信息,以查找应用程序。 协议在面向连接的目录访问协议避免了建立 (和关闭) 连接和会话绑定和取消绑定操作所需的开销。
基于不同协议的DDoS攻击+基于僵尸网络的DDoS攻击 需要自动化缓解技术
研究人员表示,随着Mirai的源代码已在网上公开,成千上万的物联网设备被发现受此僵尸网络的影响,且利用该僵尸网络的攻击数量见涨,DDoS攻击在可预见的未来或将风云多变。实际上,Mirai已被用于了针对DNS提供商Dyn的攻击中。
Corero网络安全攻击的首席技术官和首席运营官大卫·莱森(Dave Larson)解释道:“这种攻击向量如果与其他方法结合,如物联网僵尸网络,将会使攻击达到之前难以想象的规模,产生深远影响。TB级攻击将很快会成为一个普遍现实,会严重影响互联网的可用性,至少在某些区域可降低其能力。”
同时,莱森表示目前的DDoS攻击的自动化能力日益增强,攻击者切换向量的速度比人们的响应速度快。因此,我们需要自动化的缓解技术,有效保护网络免受此类DDoS攻击向量的影响。他还补充道,鉴于此类攻击持续时间短且流量大,旧有的解决方案无法检测并有效缓解此类攻击。
来源:安全加