大家都知道前不久出現(xiàn)的DDoS攻擊“Mirai”，導(dǎo)致美國半數(shù)的互聯(lián)網(wǎng)癱瘓，是不是很厲害啊，現(xiàn)在下面就為大家介紹一個最新的DDoS攻擊，要讓DDoS攻擊力更彪悍。

LDAP

據(jù)Corero網(wǎng)絡(luò)安全公司披露，上周發(fā)現(xiàn)一種新型DDoS攻擊媒介針對其客戶發(fā)起攻擊。這種攻擊技術(shù)是一種利用輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol，LDAP)的放大攻擊，峰值可以達到Tb級別。LDAP是訪問類似Active Directory數(shù)據(jù)庫用戶名和密碼使用最廣泛的協(xié)議。它是基于X.500標(biāo)準(zhǔn)的，但是簡單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。

LDAP模式

LDAP DDoS攻擊其實是安全領(lǐng)域的新事物，這種LDAP協(xié)議可能會被黑客濫用，然后推動大規(guī)模的DDoS攻擊。

據(jù)Corero公司網(wǎng)絡(luò)安全專家披露，他們已經(jīng)發(fā)現(xiàn)了LDAP DDoS攻擊的實例。在這起攻擊中，黑客利用了CLDAP協(xié)議中的零日漏洞來發(fā)起攻擊，其實在之前就發(fā)生過類似的攻擊。更令人擔(dān)心的是，專家認(rèn)為這將有可能成為黑客的又一個選擇。

聞所未聞，黑客利用LDAP協(xié)議的漏洞實施攻擊可以讓放大系數(shù)達到46，在特定條件下，峰值甚至能達到55。

Corero的安全專家解釋了黑客如何利用CLDAP進行攻擊：

攻擊者可以從偽造地址(受害人地址)向支持CLDAP(無連接輕量級目錄訪問協(xié)議)的服務(wù)器發(fā)送一個請求。當(dāng)LDAP服務(wù)器處理請求之后，便會向發(fā)送人的地址發(fā)送回復(fù)。而LDAP服務(wù)器準(zhǔn)備發(fā)送的回復(fù)內(nèi)容是原請求內(nèi)容的數(shù)倍。

正是由于LDAP服務(wù)器回復(fù)的內(nèi)容是原請求內(nèi)容的數(shù)倍，所以放大技術(shù)才允許慣犯擴大他們攻擊的規(guī)模。在受攻擊的情況下，LDAP服務(wù)器的響應(yīng)能夠達到非常高的帶寬，就像我們已經(jīng)看到的那樣，平均放大系數(shù)為46倍，而在攻擊高峰期，這個數(shù)值更是達到了55倍。

LDAP DDoS IOT

LDAP DDoS攻擊能夠?qū)е路浅��?yán)重的后果，有專家指出，這種攻擊產(chǎn)生的通信流量峰值能達到每秒數(shù)萬兆。試想一下，網(wǎng)絡(luò)擁堵會達到什么地步?

Corero公司CTO/COO Dave Larson:

這種媒介的出現(xiàn)，是原本就已經(jīng)很危險的DDoS攻擊如虎添翼，將使DDoS更可怕。當(dāng)與其他方式，特別是與IoT僵尸網(wǎng)絡(luò)結(jié)合后，我們會發(fā)現(xiàn)，這種攻擊會達到前所未有的規(guī)模，并且影響深遠。千兆級別的攻擊將會成為現(xiàn)實、常態(tài)，互聯(lián)網(wǎng)的可用性也可能會受到極大的影響——至少，在某些地方，可用性將會降低。

同時，Dave還表示：

LDAP不是第一個，當(dāng)然也不會是最后一個被LDAP DDoS利用的協(xié)議或服務(wù)。之所以會發(fā)生諸如此次的攻擊事件，就是因為網(wǎng)絡(luò)上的開放式服務(wù)器會對偽造記錄請求進行響應(yīng)。當(dāng)然，通過正確的方式，也能減少這種攻擊的發(fā)生。比如，加強檢測，在偽造的IP地址進入網(wǎng)絡(luò)前就識別出來。最常見的做法就是，在路由器配置過程中，采用入口過濾技術(shù)根除偽造IP地址，這樣將會使反射型DDoS總量減少一個數(shù)量級。