基于CLDAP的反射型DDos攻击的原理及防御

最新推荐文章于 2021-03-02 09:51:46 发布
最新推荐文章于 2021-03-02 09:51:46 发布
阅读量1.9k 收藏 4
点赞数
文章标签: 安全 udp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43778378/article/details/104687730
版权

文章目录


  目前,能百度到的关于CLDAP的DDos反射型攻击的资料比较少,偶然找到一份IEEE于2017年发表的相关论文。结合我组成员共同完成的报告,现做简单记录如下。

CLDAP简介

  CLDAP是由LDAP(轻量目录访问协议)演化而来的,前者不再基于TCP,而是基于UDP。LDAP定义在RFC2251(LDAPv3)中,以TCP字节流的方式进行数据传输,由于其必要的绑定操作和频繁的数据搜索查询会在一定程度上消耗较多的TCP连接资源,IETF在1995年发布了面向无连接的轻量目录访问协议(CLDAP),官方文档为RFC1798(2003年 RFC3352将CLDAP置为历史状态)。
  在CLDAP中只提供三种操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest,在不提供身份验证功能的情况下,客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。由于客户端发起searchRequest后服务端将返回searchResEntry和searchResDone两条应答消息,一般情况下执行该操作将具有较小数据包反射出较大数据包的效果。这一缺陷随即被利用进行反射放大DDos攻击,具有瘫痪中小型服务器的能力。

攻击原理

  当出于某种目的利用该协议时,攻击者可以将自己的IP伪装成攻击目标IP,并向多个CLDAP服务器发送查询(如下图所示)。当这种情况发生时,服务器不确定查询是否来自正常请求者,也不确定目标IP是否合法;因此,数据请求被发送到多个CLDAP服务器,并且在收到请求时,CLDAP服务器将放大的响应分组发送到攻击目标的IP。
放大CLDAP DDos攻击

攻击能力及波及范围

  2017年1月7日,Akamai观测到并抵御了将 CLDAP 反射用作唯一向量的最大型 DDos攻击,峰值带宽为24Gbps。它的威胁可与使用DNS的DDoS攻击相媲美,并超过了可能导致服务器崩溃的最大值(通常为1Gbps)。
  Akamai还进行了一次全互联网扫描,以检测存在CLDAP反射滥用漏洞的主机。扫描结果显示,共有78531个IP存在相应漏洞。其中,数目最多的国家是美国,有17980个,其次是巴西。
在这里插入图片描述

防御算法设计

针对多种类型DDoS攻击的检测和防御算法

  论文中提到,M.Yusof等人提出过一种针对多种类型DDoS攻击的检测和防御算法,分为三步:检测、防御、生成攻击报告。
  为减少和防止DDoS攻击,网络上的检测程序是必不可少的。首先,该程序检查所有传入的流量,而不考虑流量类型。如果传入的流量与DDoS相关,则根据DDoS攻击的类型进行检测。基于攻击行为,该算法按以下顺序检测攻击:UDP flooding, TCP SYN flooding, Ping of Death, Smurf。
  如果在检测过程中识别出DDoS攻击,则防御过程开始。在此过程中,根据检测到的攻击类型实现阻塞。如果接收到的攻击流量每秒包含超过100个数据包,则防御算法删除该数据包。这样,通过降低传入数据包的速度和控制网络带宽的使用,防御算法只允许正常的通信量接近和进入网络,从而达到保护目的。
  最后,记录检测到的DDoS攻击详细情况。根据类型创建报告,对于已确认的DDoS攻击,报告包括五项:DDoS攻击类型、分组大小、严重程度、检测时间和攻击者源。

减少CLDAP放大攻击流量算法

  由以上得到启发,韩国的两位学者Suk-June Choi和Jin Kwak(即本论文作者)设计了一种减少CLDAP放大攻击流量的方法。
  在检测过程中,要做出两个判断:通过扫描暴露在Internet上的CLDAP服务器的主机,检测是否从可用于攻击的服务器发送了数据包;根据攻击脚本中是否存在签名,来确定是否从CLDAP服务器检测到异常响应分组。如果使用CLDAP的异常数据包进入,则将启动下一防御过程。在防御过程中,测量相关的CLDAP服务器传输的数据包大小。如果攻击流量的放大分组大小超过预先指定的值, 则该过程控制分组带宽。它不断地检查接收到的数据包的大小,直到其在正常范围内。与M.Yusof等人提出的源阻塞方法不同,韩国学者提出的方法是通过控制数据包的带宽来稳定网络并防止CLDAP放大攻击。
  最后一个阶段,程序的目标是根据检测到的CLDAP放大攻击来识别风险,并记录有关攻击的信息,内容包括:带宽大小、分组大小、攻击向量、攻击持续时间和源/目的地端口。
  流程图如下:
在这里插入图片描述

总结与反思

  CLDAP服务器用于访问Microsoft Active Directory网络上的用户帐户和密码,DDoS攻击可能会利用这些漏洞。当CLDAP在DDoS放大攻击中也被恶意利用时,高容量攻击有可能造成严重损害,足以瘫痪小到中型服务器。这种CLDAP放大攻击一直在稳步增加,目前,有效的对策仍有待进一步探索与提出。

参考文献

Choi, Suk-June, and Jin Kwak. “A Study on Reduction of DDoS Amplification Attacks in the UDP-Based CLDAP Protocol.” 2017 4th International Conference on Computer Applications and Information Processing Technology (CAIPT) (2017): n. pag. Crossref. Web.

关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【DDOS】TCP反射及可行对抗
SinceY2015
01-29 721
TCP反射及可行对抗 1 背景 隐。 2 原理 主要利用了TCP协议比较唠叨的特性。 正常情况下,TCP三次握手如下: 被利用的情况下,攻击者对TCP协议利用的具体情况如下: 互联网内包含大量开放端口提供服务的机器,除了常用的80,443,22,23等长期处于等待监听状态的常用程序,还包括其他更多的开放端口等待提供服务的程序,如果被利用,则几乎没有方法能够防御效果良好且保持比较低的误杀率,此时...
DDOS反射攻击
浅笑996的博客
12-13 1349
DDOS反射攻击实验 实验目的 学习DDOS放大攻击原理 使用python scapy工具 实验环境 包含3台主机 attact 作为攻击方,使用Centos7.2 reflect 作为流量放大器,安装有dns 、ntp 、memcached三种可以放大流量的服务 windows_server ,用于被攻击,同时抓包分析流量 ,任意版本均可。安装wireshark,用于抓包 实验步骤 实验一 D...
浅析反射DDOS攻击
cilin7010的博客
08-20 509
一般来说,我们会根据不同的协议类和攻击模式,将DDOS分为SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、C...
反射 DDoS 攻击的原理和防范措施
whatday的专栏
04-22 3499
随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到快速壮大和日益泛滥。 成千上万主机组成的僵尸网络为 DDoS 攻击提供了所需的带宽和主机,形成了规模巨大的攻击和网络流量,对被攻击网络造成了极大的危害。更加可怕的是 DDoS 并没有彻底的解决办法,只能依靠各种手段和各个层次的防护进行缓解...
ZoomEye专题报告 | DDoS 反射放大攻击全球探测分析
cp15191163199的博客
04-25 442
1. 更新情况 版本 时间 ...
基于云环境的反射 DDoS 攻击检测.docx
05-21
基于云环境的反射 DDoS 攻击检测.docx
基于NTP反射放大攻击的DDoS追踪研究
01-14
摘 要:提出了一种利用NTP反射放大攻击的特点,通过对中国大陆开放公共NTP服务的主机定期发起主动探测(执行monlist指令),利用返回信息对全球范围NTP反射类DRDoS攻击事件进行长期追踪观察和统计分析。...
分布式DNS反射DDoS攻击检测及控制技术
01-19
分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值(TTL)智能研判的DNS反射攻击检测技术,能够准确发现伪造源...
详解ddos攻击手段及防护防御手段_极品全面.zip
11-11
详解分布式拒绝服务攻击ddos手段及防护防御手段_极品全面.zip tcp三次握手 各种ddos攻击:洪水攻击,反射攻击,放大攻击 防御ddos攻击
DDOS放大攻击原理及防护方法1
08-03
DDoS放大攻击是一种极具破坏性的网络攻击方式,其原理基于DDoS反射攻击,但在此基础上,利用了网络服务中的流量放大效应。攻击者通过控制大量僵尸主机,向网络中的反射器(通常是服务器、路由器或其他网络设施)发送...
LDAP协议
01-07
这是一个有关LDAP相关的文档。
三种新DDoS反射攻击出现
weixin_33697898的博客
09-04 1085
本文讲的是三种新DDoS反射攻击出现,Akamai公司是全球内容分发网络服务巨头,其安全情报响应小组在最新发布的威胁咨询报告中对最近几个月中出现的三种新DDoS攻击发出警告。 有数十种UDP协议可以被用于反射并放大DDoS攻击,包括DNS、NTP、SSDP、BitTorrent、RIPv1、mDNS、CharGEN、QOTD、NetBIOS和Por...
什么是DDOS攻击反射攻击
xiangyundianxun的博客
07-25 6922
  DNS攻击:三种手段:第一种DNS攻击类被称为缓存中毒攻击,这种攻击发生在攻击者成功将恶意DNS数据注入到递归DNS服务器(由很多ISP运作)之后。第二种类的DNS攻击需要攻击者掌控一个或多个授权DNS服务器。 第三种类的DNS攻击也是很棘手的问题。这种攻击是攻击者攻击域本身的注册,然后使用这种访问来更改分配到它的DNS服务器。 反射攻击:在DNS反射攻击手法中,假设DNS请求报文的数...
网络安全反射放大DDOS
qq_35885429的博客
03-02 2319
反射放大DDOS即利用反射手段将分布式拒绝服务攻击进一步放大,同时隐藏掉自己的身份。 为了防止这种网络攻击,我们需要弄清其原理,从而更好的保障信息财产安全。 接下来从三步走的方式弄懂反射放大DDOS的原理、模拟和防止。 第一步: 原理 这种攻击的原理有两个,第一点是ddos是如何形成的?当然是利用某些协议的漏洞,对使用这种使用这些协议的设备进行控制,利用流量对目标进行高带宽的打击,迫使其服务终端,系统瘫痪。 第二点是反射反射是指攻击者并不直接攻击目标服务IP,而是利用互联网的某些特殊服务开放的服务器,
LDAP 协议入门
Authing的博客
11-20 1366
什么是 LDAPLDAP 的全称是 Lightweight Directory Access Protocol,轻量目录访问协议。 划重点,LDAP 是一个协议,约定了 Client 与 Server 之间的信息交互格式、使用的端口号、认证方式等内容。而 LDAP 协议的实现,有着众多版本,例如微软的 Active Directory 是 LDAP 在 Windows 上的实现,AD 实现了 LDAP 所需的树形数据库、具体如何解析请求数据并到数据库查询然后返回结果等功能。再例如 OpenLDAP 是可
LDAP基本介绍
marylgao技术专栏
10-10 4197
什么是目录服务 目录服务又叫Directory,是一种特殊的数据库,主要用来对数据库中的数据进行查找和浏览。 目录主要存储了对象的基本描述信息和一些属性信息,可根据名字进行查找,也可通过部分过滤条件对数据进行查找,同时目录要求对于查找和搜索都能快速返回。 目录不会像数据库管理系统一样提供事物和回滚操作,目录通常只提供一些基本的数据更新操作,而且更新通常都是指全量更新。 什么是LDAP LDAP 是轻量目录服务访问协议,英文是 Lightweight Directory Access Protocol,是一个
C# LDAP认证登录
生如夏花之灿烂!
11-14 9596
LDAP认证登录方式并不少见,很多公司都使用域用户登录方式,所以在开发系统的时候他们希望新系统仍然使用他们的域用户来登录,这样就需要使用到LDAP认证的登录方式。C#中已经提供的LDAP的登录方法,所以使用C#来实现LDAP认证登录就变的更加简单。   首先引用 System.DirectoryServices 类库 代码如下,直接调用即可: public class LDAP
随手写了一段C++访问LDAP, 并且获取sid的代码
zj510的专栏
09-07 4450
直接上代码,获取sid,并且转换成字符串形式。没有仔细优化代码,这只能是一段demo代码,但是能跑成功。跟大家share一下。 // LDAPTest.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include #include "Winldap.h" #include
SAS IT技术(与LDAP交互)
08-06 2486
什么是LDAP?(转自http://www.sczg.com/)LDAP的英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的, 但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP 的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LD
请简述反射XSS攻击的原理
最新发布
05-18
反射XSS攻击是一种利用用户输入的漏洞,攻击者将恶意脚本注入到URL或表单中,当用户点击恶意链接或提交表单时,恶意脚本会被执行,从而达到攻击者的目的。 具体原理如下: 1. 攻击者构造一个恶意URL或表单,其中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值