Новый вектор DDoS с плечом: CLDAP-атаки
С октября специалисты Akamai Technologies по защите от DDoS отразили по своей клиентской базе 50 атак, использующих посреднические CLDAP-устройства для отражения вредоносного трафика. Коэффициент усиления при этом в среднем составил 56, хотя может доходить до 70.
Как следует из спецификации RFC 3352, протокол CLDAP (облегченный протокол прикладного уровня для доступа к службе каталогов X.500 без установления соединений) как альтернатива LDAP не получил широкого распространения. Однако эксперты предостерегают, что использующие этот вектор DDoS не требуют большого количества хостов-посредников для создания мусорного потока, способного положить сайт. Следует отметить, что CLDAP-серверы принимают входящие соединения на порт 389 по протоколу UDP, позволяющему подменить IP-адрес источника запроса, и возвращают ответ, который может значительно превышать запрос по объему.
Мощность CLDAP-атак, зафиксированных Akamai, в среднем составила 3 Гбит/с, самая внушительная из них на пике показала 24 Гбит/с и 2 млн пакетов в секунду. В ходе этих атак эксперты насчитали 7629 подневольных серверов с открытым из Интернета портом 389; четверть из них прописаны в США.
Примечательно, что большинство (33) DDoS с CLDAP-плечом были одновекторными. Основными мишенями злоумышленников являлись софтверные и технологические компании, игровые сайты и поставщики интернет-/телеком-услуг.
Напомним, примерно в то же время, когда Akamai обнаружила первые CLDAP-атаки, другой специалист по защите от DDoS — Corero зафиксировала использование с той же целью протокола LDAP.
Для предотвращения подобных атак, как и других DDoS с плечом, эксперты рекомендуют применять фильтрование входящих пакетов на порту 389 или вовсе заблокировать его для внешних источников, если рабочие процессы от этого не страдают. Согласно Shodan, количество открытых для злоупотреблений (C)LDAP-устройств в настоящее время составляет 250 тыс.
«В последнее время более 50% атак приходится на атаки с отражением на основе UDP, — отметили в заключение авторы отчета Akamai. — Учитывая сходство скриптов, используемых для проведения UDP-атак с отражением, CLDAP, вероятно, был включен или будет включен в полноценный сценарий атаки и интегрирован в инфраструктуру booter/stresser. Если он пока не включен в состав такого набора, худшее, возможно, еще впереди».