реклама
разместить

В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi

Это уже шестая подобная атака за 12 месяцев.

Не прошло и месяца 2019 года, как мы опять не пустили DDoS-атаку в сеть клиента.

Паттерн нелегитимного трафика атаки из фрагментов CLDAP-датаграммы Qrator Labs
Паттерн нелегитимного трафика атаки из фрагментов CLDAP-датаграммы Qrator Labs

LDAP (Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам») — протокол прикладного уровня для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP.

LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.

Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

Полоса атаки, гигабиты в секунду Qrator Labs
Полоса атаки, гигабиты в секунду Qrator Labs
Интенсивность атаки, миллионы пакетов в секунду Qrator Labs
Интенсивность атаки, миллионы пакетов в секунду Qrator Labs

Подход атакующих менялся волнами: вначале было две попытки на основе LDAP-амплификации, когда злоумышленнику стало ясно, что желаемый эффект не достигается, был опробован SYN-флуд. Весь трафик атаки был пойман нашей сетью фильтрации, в основном в Западной Европе и США.

Несмотря на то, что LDAP amplification был описан в 2016 году и можно найти упоминания атак с использованием данного вектора за позапрошлый и прошлый года, тенденция к росту частоты и полосы атак с задействованием незащищённых LDAP-сервисов впечатляет. По масштабу задействованных источников и полосе атаки это была рекордная атака с задействованием LDAP.

Важная деталь: атака длилась всего восемь минут. По всей видимости, злоумышленники не стали продолжать вследствие тщетности собственных усилий. При этом, по нашим данным и по информации из индустрии, успешные атаки обычно продолжаются намного дольше.

Это существенный фактор, который следует учитывать при планировании средств защиты: DDoS-атаки, как правило, не проявляют себя в полной мере, пока работает постоянная фильтрация. Нередко можно встретить подход: если атаки происходят редко и длятся считанные минуты, не проще ли переждать их или (в крайнем случае) переключиться под защиту только на время инцидента?

Практика показывает, что при выборе такой стратегии число неполадок, вызванных периодическими атаками, вырастает кратно, поэтому такой подход можно рекомендовать только тем сайтам, которые по каким-то причинам не имеют другого выхода.

Другой важный момент. Читающий эти строки неоднократно мог ранее видеть в СМИ фразы наподобие «кибератаки производились с IP-адресов, расположенных на территории США, Канады, Саудовской Аравии и Украины».

У читателей, не являющихся техническими специалистами, такой оборот вызывает внутреннее чувство сопричастности, поскольку кажется, будто между географическими источниками атаки и, скажем, причинами её организации может быть какая-то связь (например, политическая).

Однако в случае атак типа Amplification или SYN flood это категорически неверно, потому что для первых используются уязвимые серверы, неподконтрольные злоумышленнику в целом, а вторые почти всегда организуются с подделыванием IP-адреса отправителя.

Как мы писали ранее, большой ошибкой было бы пытаться нейтрализовать такие атаки путём блокирования IP-адресов источника или пытаться в принципе рассматривать геопринадлежность источников как значимый фрагмент информации.

По этой же причине, к сожалению, даже имея полноценные дампы атаки, в абсолютном большинстве случаев найти нити, ведущие хотя бы к оригинальным серверам-генераторам трафика, практически невозможно.

В то же время, кстати, удалённая фильтрация пакетов, идущих с LDAP-порта 389, каким-то из существующих механизмов (BGP FlowSpec, selective blackholing и других) могла бы быть действенной против LDAP-компонента. Однако SYN-флуд — при отсутствии подключения к распределённой сети фильтрации трафика — всё равно пришлось бы полностью обрабатывать на своей сети и рассчитывать мощность «последней мили» с учётом такой угрозы.

За последние 12 месяцев это уже шестой замеченный нами случай атаки с использованием LDAP. Мы бы хотели напомнить, что это ещё один пример полезного протокола, оказавшегося некорректно настроенным и, как следствие, уязвимым.

Предыдущая атака типа LDAP amplification длилась менее трёх минут на полосе около 120 Gbps. В следующий раз злоумышленники могут найти столько уязвимых ресурсов, что хватит на очередной рекорд.

Особенно учитывая, насколько дёшево сейчас организовать подобные атаки.

88
реклама
разместить
4 комментария

Атаки можно купить на каком–то сайте по тарифу?

Действительно, открытие. Всегда думал, что такое совершают какие–то "головастые" новички, либо полноценная ит-криминал группа.

Да, атаки уже давным-давно продаются и, на сегодняшний день, 80% основной массы атак - это как раз не слишком умные и сложные генераторы трафика, доступные в дарквебе за смешные деньги. Но когда такой поток прилетает из 100-гигабитного инстанса Амазона, жертвам уже не до смеха.

2

Как думаете, атаки как-нибудь повлияют на работу qiwi nfc (https://paysnfc.ru/nfc-qiwi-wallet/)?

Великобритания первая в мире запретит создание и распространение ИИ-инструментов для генерации интимных изображений с несовершеннолетними

Законопроект предстоит рассмотреть парламенту.

Источник фото: GV Wire
33
реклама
разместить
ИИ на экологической службе

Как мы разработали инновационную платформу MarQus на базе искусственного интеллекта для сортировки мусора.
Результат: до 96% — средняя точность распознавания ТБО и до 94% точность по захвату объектов манипулятором с конвейерной ленты.

ИИ на экологической службе
77
Фейк о том, что DeepSeek работает на базе советского кода, выдали за новость на канале «Россия

Шуточную новость придумало ИА «Панорама».

113113
33
22
11
Утром в Панораме, вечером на федеральном канале
Почему вложения в Telegram никогда не окупятся: как я повелся на эти байки и потерял 150.000₽

Я ежедневно наталкиваюсь на статьи про "успешный успех" в Telegram. Так ли это на самом деле или нам нагло врут в глаза?

Именно такой выбор, у каждого, кто заходит в нишу Tg-бизнеса)
77
Мой портфель акций на 2 февраля 2025

Январь оказался мягким не только по погоде, но и по волатильности. Рынок ждёт каких-то серьёзных сигналов, а я продолжаю покупать акции в свой портфель. Посмотрел, как идут успехи с приведением его к целевым значениям. После внесения правок в стратегию по акциям работы предстоит много. Размер портфеля составляет 2,087 млн рублей.

Мой портфель акций на 2 февраля 2025
2121
11
Счастье как KPI: что нам расскажут философы, ученые и Google. И как и зачем делать счастливыми сотрудников вашего бизнеса

Мы склонны считать, что счастье – это что-то субъективное, неуловимое. Но это состояние вполне можно изучать, анализировать и даже внедрять как стратегию, в том числе и в корпоративном мире. Причем, если Google, который уж точно разбирается в технологиях, это сделал - значит, что-то в этом есть.

Счастье как KPI: что нам расскажут философы, ученые и Google. И как и зачем делать счастливыми сотрудников вашего бизнеса
11
Как стать владельцем канала Telegram и зарабатывать 150-200 тысяч рублей в месяц ничего не делая? Факты, мифы, а самое главное - опыт.
Как стать владельцем канала Telegram и зарабатывать 150-200 тысяч рублей в месяц ничего не делая? Факты, мифы, а самое главное - опыт.
99
55
11
11
[]