基于 CLDAP 反射的 DDoS 攻击

近年来，分布式拒绝服务 (DDoS) 攻击已成为全球企业和机构面临的重大威胁。攻击者使用各种手段、技术和流程使服务器流量过载，进而使网站或服务对用户不可用。网络犯罪分子使用的技术之一是放大和反射 DDoS 攻击。自 2016 年以来，一种名为 CLDAP 反射攻击的特定类型放大攻击已被广泛使用，本文有助于您了解其工作原理以及您可以采取哪些措施来保护自己免受其侵害。

CLDAP 是指无连接轻量级目录访问协议。它是各种设备和服务器用来通过本地或公共网络访问 Active Directory 服务的 RFC。其对应的传输控制协议 (TCP) LDAP 是用户数据报协议 (UDP) CLDAP 面向连接的版本。此类攻击媒介是一种 DDoS 攻击，此类攻击利用协议的弱点用流量让目标网络不堪重负。

CLDAP 是指无连接轻量级目录访问协议。它是各种设备和服务器用来通过本地或公共网络访问 Active Directory 服务的 RFC。其对应的传输控制协议 (TCP) LDAP 是用户数据报协议 (UDP) CLDAP 面向连接的版本。此 攻击媒介 是一种 DDoS 攻击，此类攻击利用协议的弱点用流量让目标网络不堪重负。

在此类攻击中，黑客向互联网上的开放服务器发送了大量欺骗性的 CLDAP 请求。通常，这些 DNS 服务器随后会响应此类欺骗性请求，向目标网络发送的数据量比攻击者最初发送的数据量大得多。这种放大效应可能导致大量数据涌入，使目标网络不堪重负，使合法用户无法访问。

基于 CLDAP 反射的 DDoS 攻击分三个阶段进行：

侦察：攻击者搜寻响应 CLDAP 请求的开放服务器的 IP 地址。此过程通常使用可扫描互联网以查找易受攻击的服务器的自动化工具来完成。被找到的服务器大多数是开放的 DNS 解析器。

欺骗：攻击者向开放服务器发送大量欺骗性的 CLDAP 请求，使请求看起来像是来自目标网络。

放大：开放服务器会响应此类欺骗性请求，向目标网络发送的数据量比攻击者最初发送的数据量大得多。此放大系数（原始请求的 56–70 倍）可能导致大量数据涌入，带宽被大量占用，使目标的 IP 基础架构不堪重负。

攻击者往往更喜欢反射和放大攻击媒介，因为此类媒介更易获得投资回报。攻击者不再需要维护僵尸网络基础架构来利用这些 CLDAP 反射器或其他已知攻击媒介，如 SNMP、SSDP、Chargen、Memcached 和 NTP，此类攻击媒介倾向于使用基于 UDP 的攻击流量。

现在，攻击者已经执行了上述至少三个阶段，则很容易就能编排拒绝服务攻击。攻击者只需启动一个脚本，就能拥有开放的 CLDAP 服务器的源 IP 地址，拥有目标端点和目标端口的受害者 IP 地址，而现在他们则可以开始发起攻击活动。多年来，Akamai 网络安全专家一直在跟踪这些攻击媒介的使用情况，平均攻击规模范围为 1 Gbps 到 60 Gbps。根据记录，转发速率在 1 Mpps 到 30 Mpps 之间，为 CLDAP 提供了相当高的放大系数。

您可以采取以下几个步骤来保护您的网络免受基于 CLDAP 反射的 DDoS 攻击：

• 禁用 CLDAP 协议：如果不使用 LDAP 或 CLDAP 协议，建议您在面向互联网的所有设备和服务器上禁用该协议，以防止攻击者利用其弱点。
• 实施访问控制列表 (ACL)：ACL 可用于限制对 CLDAP 服务器的访问，从而限制对可被攻击者利用的大量开放服务器的入站访问。
• 使用 DDoS 防护服务：DDoS 抵御服务可以在 DDoS 攻击（包括基于 CLDAP 反射的 DDoS 攻击）到达您的网络之前检测和阻止攻击。
• 及时更新您的系统：定期修补和更新您的系统有助于防止攻击者利用已知漏洞。
• 监控网络流量：监控网络流量有助于检测异常活动，并支持您在攻击发生之前采取预防措施。
• 限制速率：：限制入站或出站请求和响应的数量可以降低这些 CLDAP 或 LDAP 服务器不堪重负的可能性。