大家都知道前不久出現(xiàn)的DDoS攻擊“Mirai”，導(dǎo)致美國(guó)半數(shù)的互聯(lián)網(wǎng)癱瘓，是不是很厲害啊，現(xiàn)在下面就為大家介紹一個(gè)最新的DDoS攻擊，要讓DDoS攻擊力更彪悍。

LDAP

據(jù)Corero網(wǎng)絡(luò)安全公司披露，上周發(fā)現(xiàn)一種新型DDoS攻擊媒介針對(duì)其客戶(hù)發(fā)起攻擊。這種攻擊技術(shù)是一種利用輕量目錄訪問(wèn)協(xié)議(Lightweight Directory Access Protocol，LDAP)的放大攻擊，峰值可以達(dá)到Tb級(jí)別。LDAP是訪問(wèn)類(lèi)似Active Directory數(shù)據(jù)庫(kù)用戶(hù)名和密碼使用最廣泛的協(xié)議。它是基于X.500標(biāo)準(zhǔn)的，但是簡(jiǎn)單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP，這對(duì)訪問(wèn)Internet是必須的。

LDAP模式

LDAP DDoS攻擊其實(shí)是安全領(lǐng)域的新事物，這種LDAP協(xié)議可能會(huì)被黑客濫用，然后推動(dòng)大規(guī)模的DDoS攻擊。

據(jù)Corero公司網(wǎng)絡(luò)安全專(zhuān)家披露，他們已經(jīng)發(fā)現(xiàn)了LDAP DDoS攻擊的實(shí)例。在這起攻擊中，黑客利用了CLDAP協(xié)議中的零日漏洞來(lái)發(fā)起攻擊，其實(shí)在之前就發(fā)生過(guò)類(lèi)似的攻擊。更令人擔(dān)心的是，專(zhuān)家認(rèn)為這將有可能成為黑客的又一個(gè)選擇。

聞所未聞，黑客利用LDAP協(xié)議的漏洞實(shí)施攻擊可以讓放大系數(shù)達(dá)到46，在特定條件下，峰值甚至能達(dá)到55。

Corero的安全專(zhuān)家解釋了黑客如何利用CLDAP進(jìn)行攻擊：

攻擊者可以從偽造地址(受害人地址)向支持CLDAP(無(wú)連接輕量級(jí)目錄訪問(wèn)協(xié)議)的服務(wù)器發(fā)送一個(gè)請(qǐng)求。當(dāng)LDAP服務(wù)器處理請(qǐng)求之后，便會(huì)向發(fā)送人的地址發(fā)送回復(fù)。而LDAP服務(wù)器準(zhǔn)備發(fā)送的回復(fù)內(nèi)容是原請(qǐng)求內(nèi)容的數(shù)倍。

正是由于LDAP服務(wù)器回復(fù)的內(nèi)容是原請(qǐng)求內(nèi)容的數(shù)倍，所以放大技術(shù)才允許慣犯擴(kuò)大他們攻擊的規(guī)模。在受攻擊的情況下，LDAP服務(wù)器的響應(yīng)能夠達(dá)到非常高的帶寬，就像我們已經(jīng)看到的那樣，平均放大系數(shù)為46倍，而在攻擊高峰期，這個(gè)數(shù)值更是達(dá)到了55倍。

LDAP DDoS IOT

LDAP DDoS攻擊能夠?qū)е路浅��?yán)重的后果，有專(zhuān)家指出，這種攻擊產(chǎn)生的通信流量峰值能達(dá)到每秒數(shù)萬(wàn)兆。試想一下，網(wǎng)絡(luò)擁堵會(huì)達(dá)到什么地步?

Corero公司CTO/COO Dave Larson:

這種媒介的出現(xiàn)，是原本就已經(jīng)很危險(xiǎn)的DDoS攻擊如虎添翼，將使DDoS更可怕。當(dāng)與其他方式，特別是與IoT僵尸網(wǎng)絡(luò)結(jié)合后，我們會(huì)發(fā)現(xiàn)，這種攻擊會(huì)達(dá)到前所未有的規(guī)模，并且影響深遠(yuǎn)。千兆級(jí)別的攻擊將會(huì)成為現(xiàn)實(shí)、常態(tài)，互聯(lián)網(wǎng)的可用性也可能會(huì)受到極大的影響——至少，在某些地方，可用性將會(huì)降低。

同時(shí)，Dave還表示：

LDAP不是第一個(gè)，當(dāng)然也不會(huì)是最后一個(gè)被LDAP DDoS利用的協(xié)議或服務(wù)。之所以會(huì)發(fā)生諸如此次的攻擊事件，就是因?yàn)榫W(wǎng)絡(luò)上的開(kāi)放式服務(wù)器會(huì)對(duì)偽造記錄請(qǐng)求進(jìn)行響應(yīng)。當(dāng)然，通過(guò)正確的方式，也能減少這種攻擊的發(fā)生。比如，加強(qiáng)檢測(cè)，在偽造的IP地址進(jìn)入網(wǎng)絡(luò)前就識(shí)別出來(lái)。最常見(jiàn)的做法就是，在路由器配置過(guò)程中，采用入口過(guò)濾技術(shù)根除偽造IP地址，這樣將會(huì)使反射型DDoS總量減少一個(gè)數(shù)量級(jí)。