新型DDos攻击：利用LDAP服务器实现攻击放大

说到网络安全，你一定会想起前不久的DDoS攻击“Mirai”，导致美国半数的互联网瘫痪，你一定会觉得那很牛掰吧，但其实这并不算什么，要让DDoS攻击力更彪悍，现在有一种新方法了。

LDAP

据Corero网络安全公司披露，上周发现一种新型DDoS攻击媒介针对其客户发起攻击。这种攻击技术是一种利用轻量目录访问协议（Lightweight Directory Access Protocol，LDAP）的放大攻击，峰值可以达到Tb级别。LDAP是访问类似Active Directory数据库用户名和密码使用最广泛的协议。它是基于X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP模式

LDAP DDoS攻击其实是安全领域的新事物，这种LDAP协议可能会被黑客滥用，然后推动大规模的DDoS攻击。

据Corero公司网络安全专家披露，他们已经发现了LDAP DDoS攻击的实例。在这起攻击中，黑客利用了CLDAP协议中的零日漏洞来发起攻击，其实在之前就发生过类似的攻击。更令人担心的是，专家认为这将有可能成为黑客的又一个选择。

闻所未闻，黑客利用LDAP协议的漏洞实施攻击可以让放大系数达到46，在特定条件下，峰值甚至能达到55。

Corero的安全专家解释了黑客如何利用CLDAP进行攻击：

攻击者可以从伪造地址（受害人地址）向支持CLDAP（无连接轻量级目录访问协议）的服务器发送一个请求。当LDAP服务器处理请求之后，便会向发送人的地址发送回复。而LDAP服务器准备发送的回复内容是原请求内容的数倍。

正是由于LDAP服务器回复的内容是原请求内容的数倍，所以放大技术才允许惯犯扩大他们攻击的规模。在受攻击的情况下，LDAP服务器的响应能够达到非常高的带宽，就像我们已经看到的那样，平均放大系数为46倍，而在攻击高峰期，这个数值更是达到了55倍。

LDAP DDoS IOT

LDAP DDoS攻击能够导致非常严重的后果，有专家指出，这种攻击产生的通信流量峰值能达到每秒数万兆。试想一下，网络拥堵会达到什么地步？

Corero公司CTO/COO Dave Larson:

这种媒介的出现，是原本就已经很危险的DDoS攻击如虎添翼，将使DDoS更可怕。当与其他方式，特别是与IoT僵尸网络结合后，我们会发现，这种攻击会达到前所未有的规模，并且影响深远。千兆级别的攻击将会成为现实、常态，互联网的可用性也可能会受到极大的影响——至少，在某些地方，可用性将会降低。

同时，Dave还表示：

LDAP不是第一个，当然也不会是最后一个被LDAP DDoS利用的协议或服务。之所以会发生诸如此次的攻击事件，就是因为网络上的开放式服务器会对伪造记录请求进行响应。当然，通过正确的方式，也能减少这种攻击的发生。比如，加强检测，在伪造的IP地址进入网络前就识别出来。最常见的做法就是，在路由器配置过程中，采用入口过滤技术根除伪造IP地址，这样将会使反射型DDoS总量减少一个数量级。

*参考来源：corero，securityaffairs，FB小编latiaojun编译