Разработка Alexander Shapelez
2 800

В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi

Это уже шестая подобная атака за 12 месяцев.

В закладки

Не прошло и месяца 2019 года, как мы опять не пустили DDoS-атаку в сеть клиента.

Паттерн нелегитимного трафика атаки из фрагментов CLDAP-датаграммы Qrator Labs

LDAP (Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам») — протокол прикладного уровня для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP.

LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.

Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

«Википедия»

В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

Полоса атаки, гигабиты в секунду Qrator Labs
Интенсивность атаки, миллионы пакетов в секунду Qrator Labs

Подход атакующих менялся волнами: вначале было две попытки на основе LDAP-амплификации, когда злоумышленнику стало ясно, что желаемый эффект не достигается, был опробован SYN-флуд. Весь трафик атаки был пойман нашей сетью фильтрации, в основном в Западной Европе и США.

Несмотря на то, что LDAP amplification был описан в 2016 году и можно найти упоминания атак с использованием данного вектора за позапрошлый и прошлый года, тенденция к росту частоты и полосы атак с задействованием незащищённых LDAP-сервисов впечатляет. По масштабу задействованных источников и полосе атаки это была рекордная атака с задействованием LDAP.

Важная деталь: атака длилась всего восемь минут. По всей видимости, злоумышленники не стали продолжать вследствие тщетности собственных усилий. При этом, по нашим данным и по информации из индустрии, успешные атаки обычно продолжаются намного дольше.

Это существенный фактор, который следует учитывать при планировании средств защиты: DDoS-атаки, как правило, не проявляют себя в полной мере, пока работает постоянная фильтрация. Нередко можно встретить подход: если атаки происходят редко и длятся считанные минуты, не проще ли переждать их или (в крайнем случае) переключиться под защиту только на время инцидента?

Практика показывает, что при выборе такой стратегии число неполадок, вызванных периодическими атаками, вырастает кратно, поэтому такой подход можно рекомендовать только тем сайтам, которые по каким-то причинам не имеют другого выхода.

Другой важный момент. Читающий эти строки неоднократно мог ранее видеть в СМИ фразы наподобие «кибератаки производились с IP-адресов, расположенных на территории США, Канады, Саудовской Аравии и Украины».

У читателей, не являющихся техническими специалистами, такой оборот вызывает внутреннее чувство сопричастности, поскольку кажется, будто между географическими источниками атаки и, скажем, причинами её организации может быть какая-то связь (например, политическая).

Однако в случае атак типа Amplification или SYN flood это категорически неверно, потому что для первых используются уязвимые серверы, неподконтрольные злоумышленнику в целом, а вторые почти всегда организуются с подделыванием IP-адреса отправителя.

Как мы писали ранее, большой ошибкой было бы пытаться нейтрализовать такие атаки путём блокирования IP-адресов источника или пытаться в принципе рассматривать геопринадлежность источников как значимый фрагмент информации.

По этой же причине, к сожалению, даже имея полноценные дампы атаки, в абсолютном большинстве случаев найти нити, ведущие хотя бы к оригинальным серверам-генераторам трафика, практически невозможно.

В то же время, кстати, удалённая фильтрация пакетов, идущих с LDAP-порта 389, каким-то из существующих механизмов (BGP FlowSpec, selective blackholing и других) могла бы быть действенной против LDAP-компонента. Однако SYN-флуд — при отсутствии подключения к распределённой сети фильтрации трафика — всё равно пришлось бы полностью обрабатывать на своей сети и рассчитывать мощность «последней мили» с учётом такой угрозы.

За последние 12 месяцев это уже шестой замеченный нами случай атаки с использованием LDAP. Мы бы хотели напомнить, что это ещё один пример полезного протокола, оказавшегося некорректно настроенным и, как следствие, уязвимым.

Предыдущая атака типа LDAP amplification длилась менее трёх минут на полосе около 120 Gbps. В следующий раз злоумышленники могут найти столько уязвимых ресурсов, что хватит на очередной рекорд.

Особенно учитывая, насколько дёшево сейчас организовать подобные атаки.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Alexander Shapelez", "author_type": "self", "tags": [], "comments": 4, "likes": 19, "favorites": 2, "is_advertisement": false, "subsite_label": "dev", "id": 56614, "is_wide": true, "is_ugc": true, "date": "Fri, 25 Jan 2019 17:41:35 +0300" }
{ "id": 56614, "author_id": 246427, "diff_limit": 1000, "urls": {"diff":"\/comments\/56614\/get","add":"\/comments\/56614\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/56614"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 235819 }

4 комментария 4 комм.

Популярные

По порядку

0

Атаки можно купить на каком–то сайте по тарифу?

Действительно, открытие. Всегда думал, что такое совершают какие–то "головастые" новички, либо полноценная ит-криминал группа.

Ответить
2

Да, атаки уже давным-давно продаются и, на сегодняшний день, 80% основной массы атак - это как раз не слишком умные и сложные генераторы трафика, доступные в дарквебе за смешные деньги. Но когда такой поток прилетает из 100-гигабитного инстанса Амазона, жертвам уже не до смеха.

Ответить

0

Как думаете, атаки как-нибудь повлияют на работу qiwi nfc (https://paysnfc.ru/nfc-qiwi-wallet/)?

Ответить
0

Не должны.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления
{ "page_type": "default" }