如今，DDoS攻擊活動規(guī)模越來越大，一種濫用CLDAP進行反射攻擊的新方法可能會允許惡意攻擊者使用較少的設(shè)備生成大量DDoS流量，企業(yè)需對其提高重視。

Akamai威脅研究人員Jose Arteaga和Wilber Mejia已經(jīng)發(fā)現(xiàn)有攻擊者利用無連接輕量目錄訪問協(xié)議（CLDAP）執(zhí)行危險的反射攻擊。

“自2016年10月以來，Akamai已經(jīng)發(fā)現(xiàn)并緩解共50次CLDAP反射攻擊。在這50次攻擊事件中，33次攻擊是僅使用CLDAP反射的單向量攻擊，”Arteaga和Mejia寫道，“雖然游戲行業(yè)通常是DDoS攻擊的主要目標，但我們觀察到的CLDAP攻擊主要針對軟件和技術(shù)行業(yè)以及其他六個行業(yè)。”

CLDAP反射攻擊方法最早由Corero Network Security在2016年10月發(fā)現(xiàn)，當時研究人員估計這種攻擊可將初始響應(yīng)放大到46到55倍，這意味著使用較少資源即可發(fā)起高效率的反射攻擊。

根據(jù)Akamai記錄，在利用CLDAP反射作為唯一攻擊向量的最大攻擊中，52字節(jié)的有效載荷被放大至高達70倍（3662字節(jié)），峰值帶寬為24Gbps，每秒200萬數(shù)據(jù)包。

雖然這遠遠小于Mirai觀察到的高達1Tbps的峰值帶寬，但咨詢公司Rendition InfoSec LLC創(chuàng)始人Jake Williams稱，這種放大因素可讓低帶寬用戶對擁有更高帶寬的企業(yè)進行DDoS攻擊。

“與DNS DDoS一樣，CLDAP是一種放大DDoS攻擊。攻擊者擁有相對有限的帶寬，通過將小型消息發(fā)送到服務(wù)器以及掩飾來源，服務(wù)器會向受害者發(fā)送大量的響應(yīng)信息，”Williams稱，“你只能有效地欺騙無連接協(xié)議的來源，所以CLDAP明顯存在風險。”

Arteaga和Mejia稱企業(yè)可通過阻止特定端口來限制這種反射攻擊。

“與很多其他反射和放大攻擊向量類似，如果企業(yè)部署適當?shù)娜胝具^濾機制，這種攻擊就無法有效執(zhí)行，”Arteaga和Mejia在博文中稱，“通過互聯(lián)網(wǎng)掃描以及過濾用戶數(shù)據(jù)報協(xié)議（UDP）目標端口389可發(fā)現(xiàn)潛在主機。”

Williams也認為贊成入站過濾會有所幫助，并指出“CLDAP在2003年已經(jīng)正式推出IETF標準”，使用Active Directory的企業(yè)需要注意這個威脅。

“Active Directory支持CLDAP，這可能是我們看到CLDAP服務(wù)器暴露在互聯(lián)網(wǎng)上的最大原因，”Williams稱，“電子郵件目錄服務(wù)器可能是另一個原因，盡管這種情況不太常見。”