目前,能百度到的关于CLDAP的DDos反射型攻击的资料比较少,偶然找到一份IEEE于2017年发表的相关论文。结合我组成员共同完成的报告,现做简单记录如下。
CLDAP简介
CLDAP是由LDAP(轻量目录访问协议)演化而来的,前者不再基于TCP,而是基于UDP。LDAP定义在RFC2251(LDAPv3)中,以TCP字节流的方式进行数据传输,由于其必要的绑定操作和频繁的数据搜索查询会在一定程度上消耗较多的TCP连接资源,IETF在1995年发布了面向无连接的轻量目录访问协议(CLDAP),官方文档为RFC1798(2003年 RFC3352将CLDAP置为历史状态)。
在CLDAP中只提供三种操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest,在不提供身份验证功能的情况下,客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。由于客户端发起searchRequest后服务端将返回searchResEntry和searchResDone两条应答消息,一般情况下执行该操作将具有较小数据包反射出较大数据包的效果。这一缺陷随即被利用进行反射放大DDos攻击,具有瘫痪中小型服务器的能力。
攻击原理
当出于某种目的利用该协议时,攻击者可以将自己的IP伪装成攻击目标IP,并向多个CLDAP服务器发送查询(如下图所示)。当这种情况发生时,服务器不确定查询是否来自正常请求者,也不确定目标IP是否合法;因此,数据请求被发送到多个CLDAP服务器,并且在收到请求时,CLDAP服务器将放大的响应分组发送到攻击目标的IP。
攻击能力及波及范围
2017年1月7日,Akamai观测到并抵御了将 CLDAP 反射用作唯一向量的最大型 DDos攻击,峰值带宽为24Gbps。它的威胁可与使用DNS的DDoS攻击相媲美,并超过了可能导致服务器崩溃的最大值(通常为1Gbps)。
Akamai还进行了一次全互联网扫描,以检测存在CLDAP反射滥用漏洞的主机。扫描结果显示,共有78531个IP存在相应漏洞。其中,数目最多的国家是美国,有17980个,其次是巴西。
防御算法设计
针对多种类型DDoS攻击的检测和防御算法
论文中提到,M.Yusof等人提出过一种针对多种类型DDoS攻击的检测和防御算法,分为三步:检测、防御、生成攻击报告。
为减少和防止DDoS攻击,网络上的检测程序是必不可少的。首先,该程序检查所有传入的流量,而不考虑流量类型。如果传入的流量与DDoS相关,则根据DDoS攻击的类型进行检测。基于攻击行为,该算法按以下顺序检测攻击:UDP flooding, TCP SYN flooding, Ping of Death, Smurf。
如果在检测过程中识别出DDoS攻击,则防御过程开始。在此过程中,根据检测到的攻击类型实现阻塞。如果接收到的攻击流量每秒包含超过100个数据包,则防御算法删除该数据包。这样,通过降低传入数据包的速度和控制网络带宽的使用,防御算法只允许正常的通信量接近和进入网络,从而达到保护目的。
最后,记录检测到的DDoS攻击详细情况。根据类型创建报告,对于已确认的DDoS攻击,报告包括五项:DDoS攻击类型、分组大小、严重程度、检测时间和攻击者源。
减少CLDAP放大攻击流量算法
由以上得到启发,韩国的两位学者Suk-June Choi和Jin Kwak(即本论文作者)设计了一种减少CLDAP放大攻击流量的方法。
在检测过程中,要做出两个判断:通过扫描暴露在Internet上的CLDAP服务器的主机,检测是否从可用于攻击的服务器发送了数据包;根据攻击脚本中是否存在签名,来确定是否从CLDAP服务器检测到异常响应分组。如果使用CLDAP的异常数据包进入,则将启动下一防御过程。在防御过程中,测量相关的CLDAP服务器传输的数据包大小。如果攻击流量的放大分组大小超过预先指定的值, 则该过程控制分组带宽。它不断地检查接收到的数据包的大小,直到其在正常范围内。与M.Yusof等人提出的源阻塞方法不同,韩国学者提出的方法是通过控制数据包的带宽来稳定网络并防止CLDAP放大攻击。
最后一个阶段,程序的目标是根据检测到的CLDAP放大攻击来识别风险,并记录有关攻击的信息,内容包括:带宽大小、分组大小、攻击向量、攻击持续时间和源/目的地端口。
流程图如下:
总结与反思
CLDAP服务器用于访问Microsoft Active Directory网络上的用户帐户和密码,DDoS攻击可能会利用这些漏洞。当CLDAP在DDoS放大攻击中也被恶意利用时,高容量攻击有可能造成严重损害,足以瘫痪小到中型服务器。这种CLDAP放大攻击一直在稳步增加,目前,有效的对策仍有待进一步探索与提出。
参考文献
Choi, Suk-June, and Jin Kwak. “A Study on Reduction of DDoS Amplification Attacks in the UDP-Based CLDAP Protocol.” 2017 4th International Conference on Computer Applications and Information Processing Technology (CAIPT) (2017): n. pag. Crossref. Web.