Aanvallers versterken ddos-aanvallen via LDAP-servers

[Captain Kirk]

Aanvallers gebruiken een nieuwe manier om hun ddos-aanvallen te versterken waardoor het verstuurde verkeer naar een aangevallen website of internetdienst met wel een factor 55 kan toenemen. Daarvoor waarschuwt het Amerikaanse beveiligingsbedrijf Corero.

De aanvallers maken hierbij gebruik van het Lightweight Directory Access Protocol (LDAP): één van de meestgebruikte protocollen voor het benaderen van gebruikersnamen en wachtwoordgegevens in databases zoals Active Directory. In dit geval sturen de aanvallers een eenvoudig verzoek naar servers met een Connectionless LDAP-service (CLDAP). Het adres waarvan het verzoek afkomstig is, is gespooft. De aanvallers geven in dit geval het adres van de aan te vallen website of internetdienst op. De CLDAP-service reageert op het verzoek en stuurt ongewenst netwerkverkeer naar het gespoofte adres terug.

Het gebruik van amplificatietechnieken vindt al geruime tijd plaats. Via LDAP kan het ddos-aanvalsverkeer met een factor 46 tot een factor 55 worden versterkt. "Nieuwe amplificatietechnieken zoals deze kunnen plaatsvinden omdat er zoveel open diensten op het internet zijn die op gespoofte verzoeken reageren. Veel van deze aanvallen kunnen echter worden verzacht door goede hygiëne van de serviceprovider, door correct gespoofte ip-adressen te identificeren voordat ze op het netwerk worden toegelaten", zegt Dave Larson van Corero. Hij stelt dat het vooral belangrijk is om de netwerkstandaard BCP 38 toe te passen, die spoofing van ip-adressen moet voorkomen.

 

 

bron: security.nl