С октября специалисты Akamai Technologies по защите от DDoS отразили по своей клиентской базе 50 атак, использующих посреднические CLDAP-устройства для отражения вредоносного трафика. Коэффициент усиления при этом в среднем составил 56, хотя может доходить до 70.

Как следует из спецификации RFC 3352, протокол CLDAP (облегченный протокол прикладного уровня для доступа к службе каталогов X.500 без установления соединений) как альтернатива LDAP не получил широкого распространения. Однако эксперты предостерегают, что использующие этот вектор DDoS не требуют большого количества хостов-посредников для создания мусорного потока, способного положить сайт. Следует отметить, что CLDAP-серверы принимают входящие соединения на порт 389 по протоколу UDP, позволяющему подменить IP-адрес источника запроса, и возвращают ответ, который может значительно превышать запрос по объему.

Мощность CLDAP-атак, зафиксированных Akamai, в среднем составила 3 Гбит/с, самая внушительная из них на пике показала 24 Гбит/с и 2 млн пакетов в секунду. В ходе этих атак эксперты насчитали 7629 подневольных серверов с открытым из Интернета портом 389; четверть из них прописаны в США.

Примечательно, что большинство (33) DDoS с CLDAP-плечом были одновекторными. Основными мишенями злоумышленников являлись софтверные и технологические компании, игровые сайты и поставщики интернет-/телеком-услуг.

Напомним, примерно в то же время, когда Akamai обнаружила первые CLDAP-атаки, другой специалист по защите от DDoS — Corero зафиксировала использование с той же целью протокола LDAP.

Для предотвращения подобных атак, как и других DDoS с плечом, эксперты рекомендуют применять фильтрование входящих пакетов на порту 389 или вовсе заблокировать его для внешних источников, если рабочие процессы от этого не страдают. Согласно Shodan, количество открытых для злоупотреблений (C)LDAP-устройств в настоящее время составляет 250 тыс.

«В последнее время более 50% атак приходится на атаки с отражением на основе UDP, — отметили в заключение авторы отчета Akamai. — Учитывая сходство скриптов, используемых для проведения UDP-атак с отражением, CLDAP, вероятно, был включен или будет включен в полноценный сценарий атаки и интегрирован в инфраструктуру booter/stresser. Если он пока не включен в состав такого набора, худшее, возможно, еще впереди».

Категории: DoS-атаки, аналитика

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *