В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi

Это уже шестая подобная атака за 12 месяцев.

Не прошло и месяца 2019 года, как мы опять не пустили DDoS-атаку в сеть клиента.

Паттерн нелегитимного трафика атаки из фрагментов CLDAP-датаграммы Qrator Labs
Паттерн нелегитимного трафика атаки из фрагментов CLDAP-датаграммы Qrator Labs

LDAP (Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам») — протокол прикладного уровня для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP.

LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.

Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

Полоса атаки, гигабиты в секунду Qrator Labs
Полоса атаки, гигабиты в секунду Qrator Labs
Интенсивность атаки, миллионы пакетов в секунду Qrator Labs
Интенсивность атаки, миллионы пакетов в секунду Qrator Labs

Подход атакующих менялся волнами: вначале было две попытки на основе LDAP-амплификации, когда злоумышленнику стало ясно, что желаемый эффект не достигается, был опробован SYN-флуд. Весь трафик атаки был пойман нашей сетью фильтрации, в основном в Западной Европе и США.

Несмотря на то, что LDAP amplification был описан в 2016 году и можно найти упоминания атак с использованием данного вектора за позапрошлый и прошлый года, тенденция к росту частоты и полосы атак с задействованием незащищённых LDAP-сервисов впечатляет. По масштабу задействованных источников и полосе атаки это была рекордная атака с задействованием LDAP.

Важная деталь: атака длилась всего восемь минут. По всей видимости, злоумышленники не стали продолжать вследствие тщетности собственных усилий. При этом, по нашим данным и по информации из индустрии, успешные атаки обычно продолжаются намного дольше.

Это существенный фактор, который следует учитывать при планировании средств защиты: DDoS-атаки, как правило, не проявляют себя в полной мере, пока работает постоянная фильтрация. Нередко можно встретить подход: если атаки происходят редко и длятся считанные минуты, не проще ли переждать их или (в крайнем случае) переключиться под защиту только на время инцидента?

Практика показывает, что при выборе такой стратегии число неполадок, вызванных периодическими атаками, вырастает кратно, поэтому такой подход можно рекомендовать только тем сайтам, которые по каким-то причинам не имеют другого выхода.

Другой важный момент. Читающий эти строки неоднократно мог ранее видеть в СМИ фразы наподобие «кибератаки производились с IP-адресов, расположенных на территории США, Канады, Саудовской Аравии и Украины».

У читателей, не являющихся техническими специалистами, такой оборот вызывает внутреннее чувство сопричастности, поскольку кажется, будто между географическими источниками атаки и, скажем, причинами её организации может быть какая-то связь (например, политическая).

Однако в случае атак типа Amplification или SYN flood это категорически неверно, потому что для первых используются уязвимые серверы, неподконтрольные злоумышленнику в целом, а вторые почти всегда организуются с подделыванием IP-адреса отправителя.

Как мы писали ранее, большой ошибкой было бы пытаться нейтрализовать такие атаки путём блокирования IP-адресов источника или пытаться в принципе рассматривать геопринадлежность источников как значимый фрагмент информации.

По этой же причине, к сожалению, даже имея полноценные дампы атаки, в абсолютном большинстве случаев найти нити, ведущие хотя бы к оригинальным серверам-генераторам трафика, практически невозможно.

В то же время, кстати, удалённая фильтрация пакетов, идущих с LDAP-порта 389, каким-то из существующих механизмов (BGP FlowSpec, selective blackholing и других) могла бы быть действенной против LDAP-компонента. Однако SYN-флуд — при отсутствии подключения к распределённой сети фильтрации трафика — всё равно пришлось бы полностью обрабатывать на своей сети и рассчитывать мощность «последней мили» с учётом такой угрозы.

За последние 12 месяцев это уже шестой замеченный нами случай атаки с использованием LDAP. Мы бы хотели напомнить, что это ещё один пример полезного протокола, оказавшегося некорректно настроенным и, как следствие, уязвимым.

Предыдущая атака типа LDAP amplification длилась менее трёх минут на полосе около 120 Gbps. В следующий раз злоумышленники могут найти столько уязвимых ресурсов, что хватит на очередной рекорд.

Особенно учитывая, насколько дёшево сейчас организовать подобные атаки.

88
4 комментария

Атаки можно купить на каком–то сайте по тарифу?

Действительно, открытие. Всегда думал, что такое совершают какие–то "головастые" новички, либо полноценная ит-криминал группа.

Да, атаки уже давным-давно продаются и, на сегодняшний день, 80% основной массы атак - это как раз не слишком умные и сложные генераторы трафика, доступные в дарквебе за смешные деньги. Но когда такой поток прилетает из 100-гигабитного инстанса Амазона, жертвам уже не до смеха.

2

Как думаете, атаки как-нибудь повлияют на работу qiwi nfc (https://paysnfc.ru/nfc-qiwi-wallet/)?