Akamai 安全情報回應團隊發現新的反射型攻擊手法
C L D A P   反射型攻擊可產生高達  2 4 Gbps 的流量   
以軟件與科技產業為目標         反射器主要集中於美國

< 香 港 >  － 內容遞送網絡 (Content Delivery Network；CDN) 服務的全球領導廠商 Akamai Technologies, Inc. (NASDAQ：AKAM)今日發表該公司 SIRT (安全情報回應團隊) 所所進行的最新研究。Akamai 研究人員 Jose Arteaga 和 Wilber Majia 發現了全新的 CLDAP (非連線式輕量型目錄存取通訊協定) 反射與放大攻擊手法。根據 Akamai SIRT 的觀察，此攻擊手法能持續產生超過 1 Gbps 流量的 DDoS (分散式阻斷服務攻擊)，與 DNS (網域名稱系統) 反射型攻擊不相上下。詳述 SIRT 研究結果的完整報告可在此下載：http://akamai.me/CLDAPAdvisory。

概覽
一般反射型攻擊手法可能需入侵上百萬部主機，相較之下，Akamai 觀察到的 CLDAP 放大效果僅需少數主機，就能產生大量的攻擊頻寬。
 
自 2016 年 10 月以來，Akamai 共偵測並抵禦了50 次 CLDAP 反射型攻擊，其中有 33 次為單獨使用 CLDAP 反射型手法的單一手法攻擊。Akamai 於2017 年 1 月 7 日抵禦的24 Gbps 攻擊是目前 SIRT 觀測到單獨使用 CLDAP 反射型手法的最大型 DDoS 攻擊。CLDAP 的平均頻寬為 3 Gbps。

一般而言，DDoS 攻擊的主要目標為遊戲產業，而 Akamai 觀察到的 CLDAP 攻擊主要以軟件和科技產業為目標。其他淪為目標的產業還包括互聯網和電訊、媒體和娛樂、教育、零售和消費性產品，以及金融服務。而攻擊中所採用的獨特 CLDAP 反射器主要均集中於美國。

抵禦
與多數其他反射與放大攻擊手法一樣，如果企業設置適當的輸入過濾功能，CLDAP 攻擊便將無法入侵。利用互聯網掃描並過濾 UDP (使用者資料包通訊協定) 目的地連接埠 389，可能會受到攻擊的主機便無所遁形。
 
根據實際 CLDAP 反射攻擊過程中所收集到的來源，Akamai 共觀察到 7,629 個獨特的CLDAP 攻擊反射器。而互聯網掃描的結果顯示，可使用的 CLDAP 反射器數量實際超過該數字。除非企業有正當的需求讓CLDAP暴露在互聯網中，否則應沒有理由暴露此協定，使DDoS 反射問題惡化。一旦伺服器被判定為 CLDAP 反射型攻擊的可用來源，Akamai 便會將其新增至已知反射器的清單中，避免伺服器之後遭到濫用。
 
Akamai 安全情報回應團隊的 Jose Arteaga 解釋︰「有超過百分之五十的攻擊持續由 UDP 反射型攻擊組成。由於與 UDP 反射型攻擊指令碼極為相似，CLDAP 可能已列入或將會包含於完整的攻擊指令碼之中，並整合至租用型基礎架構內。如果現在還沒有整合，那我們可能將會經歷更加嚴重的攻擊。」
 
Akamai 會繼續監控及分析與當前威脅的相關資料。如要深入瞭解，請至 http://akamai.me/CLDAPAdvisory 免費下載研究報告。

 

關於 Akamai
Akamai 為內容遞送網絡 (CDN) 服務的全球領導廠商，致力為客戶提供快速、可靠與安全的互聯網。Akamai 提供先進的網絡效能、行動效能、雲端安全及媒體遞送解決方案，徹底改變企業於任何地點任何裝置上優化客戶、企業以及娛樂體驗的方式。想瞭解 Akamai 的解決方案以及其互聯網專家協助企業加速邁進的方法，歡迎瀏覽 www.akamai.com 或 blogs.akamai.com，並在 Twitter 追蹤 @Akamai。