Akamai 安全情報回應團隊發現新的反射型攻擊手法

四月 20th, 2017 | Categories: Latest News

CLDAP 反射型攻擊可產生高達 24 Gbps 的流量;

以軟件與科技產業為目標;反射器主要集中於美國

內容遞送網絡 (Content Delivery Network;CDN) 服務的全球領導廠商 Akamai Technologies, Inc. (NASDAQ:AKAM)今日發表該公司 SIRT (安全情報回應團隊) 所所進行的最新研究。Akamai 研究人員 Jose Arteaga 和 Wilber Majia 發現了全新的 CLDAP (非連線式輕量型目錄存取通訊協定) 反射與放大攻擊手法。根據 Akamai SIRT 的觀察,此攻擊手法能持續產生超過 1 Gbps 流量的 DDoS (分散式阻斷服務攻擊),與 DNS (網域名稱系統) 反射型攻擊不相上下。

概覽

一般反射型攻擊手法可能需入侵上百萬部主機,相較之下,Akamai 觀察到的 CLDAP 放大效果僅需少數主機,就能產生大量的攻擊頻寬。

自 2016 年 10 月以來,Akamai 共偵測並抵禦了50 次 CLDAP 反射型攻擊,其中有 33 次為單獨使用 CLDAP 反射型手法的單一手法攻擊。Akamai 於2017 年 1 月 7 日抵禦的24 Gbps 攻擊是目前 SIRT 觀測到單獨使用 CLDAP 反射型手法的最大型 DDoS 攻擊。CLDAP 的平均頻寬為 3 Gbps。

一般而言,DDoS 攻擊的主要目標為遊戲產業,而 Akamai 觀察到的 CLDAP 攻擊主要以軟件和科技產業為目標。其他淪為目標的產業還包括互聯網和電訊、媒體和娛樂、教育、零售和消費性產品,以及金融服務。而攻擊中所採用的獨特 CLDAP 反射器主要均集中於美國。
抵禦

與多數其他反射與放大攻擊手法一樣,如果企業設置適當的輸入過濾功能,CLDAP 攻擊便將無法入侵。利用互聯網掃描並過濾 UDP (使用者資料包通訊協定) 目的地連接埠 389,可能會受到攻擊的主機便無所遁形。

根據實際 CLDAP 反射攻擊過程中所收集到的來源,Akamai 共觀察到 7,629 個獨特的CLDAP 攻擊反射器。而互聯網掃描的結果顯示,可使用的 CLDAP 反射器數量實際超過該數字。除非企業有正當的需求讓CLDAP暴露在互聯網中,否則應沒有理由暴露此協定,使DDoS 反射問題惡化。一旦伺服器被判定為 CLDAP 反射型攻擊的可用來源,Akamai 便會將其新增至已知反射器的清單中,避免伺服器之後遭到濫用。

Akamai 安全情報回應團隊的 Jose Arteaga 解釋︰「有超過百分之五十的攻擊持續由 UDP 反射型攻擊組成。由於與 UDP 反射型攻擊指令碼極為相似,CLDAP 可能已列入或將會包含於完整的攻擊指令碼之中,並整合至租用型基礎架構內。如果現在還沒有整合,那我們可能將會經歷更加嚴重的攻擊。」

關於 Akamai

Akamai 為內容遞送網絡 (CDN) 服務的全球領導廠商,致力為客戶提供快速、可靠與安全的互聯網。Akamai 提供先進的網絡效能、行動效能、雲端安全及媒體遞送解決方案,徹底改變企業於任何地點任何裝置上優化客戶、企業以及娛樂體驗的方式。

Comments are closed.