Akamai 安全情報反應團隊發現全新反射型攻擊手法

【2017年4月20日，台北】內容遞送網路（content delivery network；CDN）服務的全球領導廠商 Akamai Technologies, Inc.（NASDAQ：AKAM）發表該公司安全情報反應團隊（Security Intelligence Response Team；SIRT）的最新研究。Akamai 研究人員 Jose Arteaga 與 Wilber Majia 發現全新非連線式輕量型目錄存取通訊協定（Connection-less Lightweight Directory Access Protocol；CLDAP）反射型與放大型攻擊手法。根據 Akamai SIRT 的觀察，此攻擊手法持續產生超過 1 Gbps 流量的分散式阻斷服務（Distributed Denial Service；DDoS）攻擊，與網域名稱系統（Domain Name System；DNS）反射型攻擊不相上下。詳述 SIRT 研究結果的完整報告可由此下載：http://akamai.me/CLDAPAdvisory。

概覽

相較於一般反射型攻擊手法可能需入侵上百萬台主機，Akamai 觀察到的 CLDAP 放大效果僅需少數主機就能產生大量的攻擊頻寬。

自 2016 年 10 月以來，Akamai 已偵測並緩解共 50 次CLDAP 反射型攻擊，其中33 次僅單獨使用 CLDAP 反射型攻擊做為單一的手法。2017 年 1 月 7 日，Akamai 緩解了一起 24 Gbps 的攻擊，為目前 SIRT 所觀測到單獨使用 CLDAP 反射型手法的最大型 DDoS 攻擊，而CLDAP 的平均攻擊頻寬為 3 Gbps。

遊戲產業通常為DDoS 攻擊的主要目標，然而 Akamai 觀察到軟體與科技產業為CLDAP 的主要攻擊目標，其他目標產業還包含網際網路和電信、媒體與娛樂、教育、零售和消費性產品以及金融服務。

就 Akamai 對攻擊的觀察，美國是CLDAP 反射器最大的集中地。

緩解

如同多數其他反射型與放大型攻擊，當企業適當地過濾輸入訊息，CLDAP 攻擊便不可能奏效。運用網際網路掃描並過濾使用者資料包通訊協定（User Datagram Protocol；UDP ）目的連接埠 389，潛在受侵害的主機便無所遁形。

根據實際 CLDAP 反射型攻擊過程中所收集到的資料，Akamai 共觀察到 7,629 個不同的CLDAP 攻擊反射器，但是網際網路掃描結果顯示，可使用的 CLDAP 反射器數量更為龐大。除非企業有在網際網路上提供 CLDAP 的正當需求，否則應沒有理由暴露此通訊協定，惡化 DDoS 反射問題。一旦伺服器遭判定為 CLDAP 反射型攻擊的可用來源，Akamai 便會將其新增至已知的反射器清單中，避免伺服器後續遭到濫用。

Akamai 安全情報反應團隊 Jose Arteaga 解釋：「超過百分之五十的攻擊持續由 UDP 反射型攻擊組成。因為與 UDP 反射型攻擊指令碼極為相似，CLDAP 可能已經包含於完整的攻擊指令碼中，且整合至基礎架構內的激增工具（booter）或施壓工具（stresser）。如果現在尚未包含，我們之後可能會遭受更加嚴重的攻擊。」

Akamai 將持續監控並分析與當前威脅相關的資料。欲瞭解更多詳情，請至 http://akamai.me/CLDAPAdvisory免費下載威脅研究報告。