CLDAP 反射型攻擊可產生高達 24 Gbps 的流量,以軟體與科技產業為目標
反射器主要集中於美國 【2017年4月20日,台北】內容遞送網路(content delivery network;CDN)服務的全球領導廠商 Akamai Technologies,Inc.(NASDAQ:AKAM)發表該公司安全情報反應團隊(Security IntelligenceResponse Team;SIRT)的最新研究。Akamai 研究人員 Jose Arteaga 與 Wilber Majia 發現全新非連線式輕量型目錄存取通訊協定(Connection-lessLightweight Directory Access Protocol;CLDAP)反射型與放大型攻擊手法。根據 Akamai SIRT 的觀察,此攻擊手法持續產生超過 1 Gbps 流量的分散式阻斷服務(Distributed Denial Service;DDoS)攻擊,與網域名稱系統(Domain Name System;DNS)反射型攻擊不相上下。詳述 SIRT 研究結果的完整報告可由此下載:http://akamai.me/CLDAPAdvisory。 概覽 相較於一般反射型攻擊手法可能需入侵上百萬台主機,Akamai 觀察到的 CLDAP 放大效果僅需少數主機就能產生大量的攻擊頻寬。 自 2016 年 10 月以來,Akamai 已偵測並緩解共 50 次CLDAP 反射型攻擊,其中33 次僅單獨使用 CLDAP 反射型攻擊做為單一的手法。2017 年 1 月 7 日,Akamai 緩解了一起 24 Gbps 的攻擊,為目前 SIRT 所觀測到單獨使用 CLDAP 反射型手法的最大型 DDoS 攻擊,而CLDAP 的平均攻擊頻寬為 3 Gbps。 遊戲產業通常為DDoS 攻擊的主要目標,然而 Akamai 觀察到軟體與科技產業為CLDAP 的主要攻擊目標,其他目標產業還包含網際網路和電信、媒體與娛樂、教育、零售和消費性產品以及金融服務。 就 Akamai 對攻擊的觀察,美國是CLDAP 反射器最大的集中地。 緩解 如同多數其他反射型與放大型攻擊,當企業適當地過濾輸入訊息,CLDAP 攻擊便不可能奏效。運用網際網路掃描並過濾使用者資料包通訊協定(User Datagram Protocol;UDP )目的連接埠 389,潛在受侵害的主機便無所遁形。 根據實際 CLDAP 反射型攻擊過程中所收集到的資料,Akamai 共觀察到 7,629 個不同的CLDAP 攻擊反射器,但是網際網路掃描結果顯示,可使用的 CLDAP 反射器數量更為龐大。除非企業有在網際網路上提供 CLDAP 的正當需求,否則應沒有理由暴露此通訊協定,惡化 DDoS 反射問題。一旦伺服器遭判定為 CLDAP 反射型攻擊的可用來源,Akamai 便會將其新增至已知的反射器清單中,避免伺服器後續遭到濫用。 Akamai 安全情報反應團隊 Jose Arteaga 解釋:「超過百分之五十的攻擊持續由 UDP 反射型攻擊組成。因為與 UDP 反射型攻擊指令碼極為相似,CLDAP 可能已經包含於完整的攻擊指令碼中,且整合至基礎架構內的激增工具(booter)或施壓工具(stresser)。如果現在尚未包含,我們之後可能會遭受更加嚴重的攻擊。」 關於Akamai Akamai 為內容遞送網路( CDN)服務的全球領導廠商,致力為客戶提供快速、可靠與安全的網際網路。Akamai提供先進的網路效能、行動效能、雲端安全及媒體遞送解決方案,徹底改變企業於任何地點任何裝置上最佳化客戶、企業以及娛樂體驗的方式。想瞭解 Akamai 的解決方案以及其網際網路專家協助企業加速邁進的方法,歡迎瀏覽: www.akamai.com 或 blogs.akamai.com,並在 Twitter 追蹤 @Akamai。 ###
|