Corero:发现新的TB级攻击形式CLDAP DDoS

Corero网络安全公司发现一种新的0Day分布式拒绝服务攻击（DDoS）向量，TB级DDoS攻击将越来越多。此技术可使攻击流量放大46倍，最高可达55倍。攻击者可向支持无连接的LDAP（CLDAP）服务的脆弱反射器发送一个简单的查询请求，通过利用地址伪造方法，使此请求看上去像是从目标受害者发起的。

这种新的零日攻击向量在一次实际事件中发现，它依赖轻量级目录访问协议（LDAP）。LDAP协议用于访问数据库（如活动目录）中的用户名和密码信息。安全研究人员称，网络犯罪分子通过放大攻击流量，可对攻击目标造成重大损害。

Corero公司是做什么的

据其官方资料显示，Corero 主要针对托管和互联网服务提供商和企业，提供大范围分布式拒绝服务攻击，提供 DDoS 保护和缓解服务。

CLDAP DDoS攻击可实现每秒几十TB的攻击流量

因为CLDAP服务将向伪造的地址返回响应，因此，那些不必要的网络流量将被立即发送至攻击者的预期目标。再者，攻击者可利用放大技术提升攻击强度。这是因为LDAP服务器产生的响应报文要比攻击者的查询报文要大得多。

该安全公司称，“在这种情况下，LDAP服务响应会占用很大带宽，且其流量平均放大46倍，最高可达55倍。” 我们发现，CLDAP零日漏洞在上周被用于在短时间内发动了强大攻击，且预计将对最近的大规模攻击事件向小型攻击的转变产生影响。

安全研究人员称，实际攻击中利用此技术可导致每秒高达数十TB的攻击流量。如果此零日DDoS攻击向量与物联网僵尸网络如Mirai结合，就可能会实现此类攻击。Mirai最近被用于向布莱恩·克雷布斯（Brian Krebs）的网站发起655 Gbps攻击。

CLDAP是什么

LDAP 是用于访问和维护分布式的目录信息服务的互联网协议 (IP) 网络上开放的标准应用协议。

CLDAP（Connection-less Lightweight Directory Access Protocol ）无连接轻量级目录访问协议 (CLDAP) [RFC1798] 是在1995 年提出的标准。 协议被应用于需要在目录中列举少量信息，以查找应用程序。 协议在面向连接的目录访问协议避免了建立 （和关闭） 连接和会话绑定和取消绑定操作所需的开销。

基于不同协议的DDoS攻击+基于僵尸网络的DDoS攻击 需要自动化缓解技术

研究人员表示，随着Mirai的源代码已在网上公开，成千上万的物联网设备被发现受此僵尸网络的影响，且利用该僵尸网络的攻击数量见涨，DDoS攻击在可预见的未来或将风云多变。实际上，Mirai已被用于了针对DNS提供商Dyn的攻击中。

Corero网络安全攻击的首席技术官和首席运营官大卫·莱森（Dave Larson）解释道：“这种攻击向量如果与其他方法结合，如物联网僵尸网络，将会使攻击达到之前难以想象的规模，产生深远影响。TB级攻击将很快会成为一个普遍现实，会严重影响互联网的可用性，至少在某些区域可降低其能力。”

同时，莱森表示目前的DDoS攻击的自动化能力日益增强，攻击者切换向量的速度比人们的响应速度快。因此，我们需要自动化的缓解技术，有效保护网络免受此类DDoS攻击向量的影响。他还补充道，鉴于此类攻击持续时间短且流量大，旧有的解决方案无法检测并有效缓解此类攻击。

来源：安全加