TechTarget Tech InDepth

CLDAP reflection attack: cos’è e come moltiplica la potenza di un attacco Ddos

Una nuova tecnica d’attacco che sfrutta il protocollo CLDAP per amplificare la potenza dei Ddos: ecco cos’è un “CLDAP reflection attack”, come funziona e in che modo difendersi.

Pubblicato il 20 Set 2017

DDos-Multiply1

Per lanciare attacchi Ddos, i cybercriminali stanno sfruttando con successo una nuova tecnica che usa il protocollo CLDAP, “Connection-less Lightweight Directory Access Protocol”, per amplificare la potenza degli attacchi stessi e così raggiungere i volumi di traffico necessari a danneggiare le aziende vittime. Cos’è CLDAP e come funziona un CLDAP reflection attack?

CLDAP è un tipo di LDAP (protocollo “leggero” per l’interrogazione e la modifica dei servizi di directory) che usa UDP-User Datagram Protocol per il trasporto dei dati. Poiché l’UDP è caratterizzato dal fatto che non valida la sorgente dei pacchetti che trasferisce, diventa possibile inviare dati ai server che utilizzano il protocollo CLDAP senza che sia verificata l’origine dei dati stessi. Questa mancata verifica è una “condizione agevolata” per gli hacker che, alterando i pacchetti inviati in modo che sembrino provenire dall’indirizzo IP del server che vogliono colpire, possono sfruttare  i server CLDAP (detti “reflector”) per “riflettere” i propri attacchi: questi ultimi invieranno alla vittima i pacchetti di risposta, “ignari” del fatto che mittente e destinatario non corrispondono. È attraverso questo passaggio che l’attacco “cresce” in potenza: il CLDAP, come anche altri protocolli, genera infatti una risposta che ha dimensioni molto superiori a quelle della richiesta, tanto che, come spiega Jake Williams, Founder della società di consulenza Rendition InfoSec, anche un hacker con una disponibilità di banda limitata può diventare pericoloso poiché attraverso questo passaggio può moltiplicare il traffico che si riversa sulla vittima e così amplificare la potenza di fuoco dell’attacco Ddos.

Come proteggersi dai CLDAP reflection attack?

Jose Arteaga e Wilber Mejia, Ricercatori di Akamai specializzati in ambito IT Security, hanno segnalato che dall’ottobre 2016 (data del primo CLDAP reflection attack rilevato) Akamai ha intercettato un totale di 50 attacchi di questo tipo. Tra questi, uno in particolare avvenuto a gennaio di quest’anno dimostra le potenzialità della “reflection”: a fronte di una richiesta di 52 byte un server CLDAP ha dato una risposta di 70 volte il carico dei dati in entrata raggiungendo oltre i 3600 byte (picco di larghezza di banda: 24 gigabit al secondo, picco di pacchetti al secondo: 2 milioni).

Figura 1 – CLDAP reflection attacks nel periodo ottobre 2016 – gennaio 2017. Attacchi a vettore singolo che utilizzano esclusivamente CLDAP reflection in blu. Attacchi con vettori addizionali in arancione. Fonte: Akamai

CLDAP non è più tra gli standard IETF (l“Internet Engineering Task Force” è un organismo internazionale che sviluppa e promuove standard Internet) dal 2003, ma è comunque facile trovare server CLDAP esposti a internet soprattutto perché il protocollo è supportato da Active Directory, il directory service adottato dai sistemi operativi Microsoft. Arteaga e Mejia spiegano che tuttavia le aziende possono limitare questo tipo di attacchi abbastanza facilmente scansionando in modo appropriato il traffico internet, impostando dei blocchi sulla porta di destinazione UDP (User Datagram Protocol) 389, oppure filtrando quest’ultima per rintracciare ed eliminare gli eventuali host che stanno sfruttando il server per “nutrire” i loro attacchi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4