(圖/stocksnap)
內容遞送網路服務廠商 Akamai 發現全新的網路攻擊手法,只需要手量的主機,就可以產生大量的攻擊頻寬。Akamai 同時指出,目前觀測到的該類型網路攻擊,規模最高達到 24Gbps!
Akamai 指出,這個全新的非連線式輕量型目錄存取通訊協定(Connection-less Lightweight Directory Access Protocol;CLDAP)反射型與放大型攻擊手法,可持續產生超過 1 Gbps 流量的分散式阻斷服務(Distributed Denial Service;DDoS)攻擊,與網域名稱系統(Domain Name System;DNS)反射型攻擊不相上下。
相較於一般反射型攻擊手法可能需入侵上百萬台主機,Akamai 觀察到的 CLDAP 放大效果僅需少數主機就能產生大量的攻擊頻寬。今年 1 月 7 日 Akamai 緩解了一起 24 Gbps 的攻擊,為目前 SIRT 所觀測到單獨使用 CLDAP 反射型手法的最大型 DDoS 攻擊,而CLDAP 的平均攻擊頻寬為 3 Gbps。
(圖/Akamai)
Akamai 指出,如同多數其他反射型與放大型攻擊,當企業適當地過濾輸入訊息,CLDAP 攻擊便不可能奏效。運用網際網路掃描並過濾使用者資料包通訊協定(User Datagram Protocol;UDP )目的連接埠 389,潛在受侵害的主機便無所遁形。
Akamai 安全情報反應團隊 Jose Arteaga 指出,超過百分之五十的攻擊持續由 UDP 反射型攻擊組成。因為與 UDP 反射型攻擊指令碼極為相似,CLDAP 可能已經包含於完整的攻擊指令碼中,且整合至基礎架構內的激增工具(booter)或施壓工具(stresser)。
根據實際 CLDAP 反射型攻擊過程中所收集到的資料,Akamai 共觀察到 7,629 個不同的 CLDAP 攻擊反射器,但是網際網路掃描結果顯示,可使用的 CLDAP 反射器數量更為龐大。對此 Akamai 強調除非企業有在網際網路上提供 CLDAP 的正當需求,否則應沒有理由暴露此通訊協定,惡化 DDoS 反射問題。