推荐文章
Copyright 2024 HNCloud Limited.
香港联合通讯国际有限公司
基于CLDAP反射的DDOS攻击的防御方法
时间 : 2024-08-13 16:56:54
编辑 : 华纳云
阅读量 : 400
当下,分布式拒绝服务攻击成为全球企业和组织面临的巨大威胁,发起者会通过多种方式、技术和流程让目标服务器的流量出现过载,导致网站或者服务被迫暂停。其中有一种是通过放大和反射的DDOS攻击,从2016年起,这类被命名为CLDAP反射攻击的特定类型放大攻击已被广泛使用。华纳云在本文为大家分享这类攻击的原理和防护措施,希望对大家有所帮助。
CLDAP是一种无连接轻量级目录访问协议。通过多种设备和服务器用本地或者公共网络访问Active Directory 服务的 RFC。其对应传输控制协议 (TCP) LDAP 是用户数据报协议 (UDP) CLDAP 面向连接的版本。这种攻击的媒介属于一种DDOS攻击,利用的是协议弱点用流量导致目标网络崩溃。
这种攻击,发起者会向互联网上开放服务器发送大量欺骗性的CLDAP请求,通常这些DNS服务器随后会响应此类欺骗性请求,向目标网络发送的数据量比期初发起者发送数据量大得多。这就是放大效应,最终会导致大量数据涌入,使目标网络不堪重负,而合法用户无法访问。
基于CLDAP反射的DDOS攻击主要分3个阶段进行。先侦查,再欺骗,最后放大。侦查阶段,发起者会搜寻响应CLDAP请求的开放服务器的IP地址。这个过程一般是使用可扫描互联网来查找易受攻击的服务器自动化工具完成。 被找到的服务器一般都是开放的DNS解析器。
然后开始欺骗阶段,发起者向开放服务器发送出大量欺骗性的CLDAP请求,让请求看起来就像是来自目标网络。
最后放大,开放服务器会响应此类欺骗性请求,对目标网络发送数据量会大大超过发起者一开始发送的数据量。此处的放大系数(原始请求56-70倍)会导致大量流量访问,导致大量带宽被占用,让目标IP基础架构崩溃。
发起者会倾向于反射和放大攻击媒介,因为这类媒介更溶于获取到投资回报。发起者不需要再维护僵尸网络基础架构来利用这些CLDAP反射器或其他已知攻击媒介,如 SNMP、SSDP、Chargen、Memcached 和 NTP,此类攻击媒介倾向于使用基于 UDP 的攻击流量。
通过以上三个阶段,发起者就很容易编排拒绝服务攻击,只要通过一个脚本就可以拥有开放CLDAP服务器的源IP地址,拥有目标端点和目标端口的受害者 IP 地址,而现在他们则可以开始发起攻击活动。
为防护CLDAP反射的DDOS攻击,建议禁用CLDAP协议,在面向互联网的所有设备和服务器上都禁用这协议,防其他人利用其弱点。采取访问控制列表,ACL可限制CLDAP服务器的访问,这样可以限制对可被攻击者利用的大量开放服务器的入站访问。
使用DDOS防护服务,DDOS防御服务可以在DDOS攻击到达网络之前进行检查并阻止,华纳云高防御服务器即可支持此类防御服务。另外,定期更新系统和实施监控网络流量,限制速率等都可以一定程度上防护DDOS攻击。
