พบการโจมตีแบบ DDoS ใช้โปรโตคอล CLDAP ปั๊มทราฟฟิกทะลุ 70 เท่า

Akamai ผู้ให้บริการเครือข่าย CDN ชั้นนำของโลก ออกมาเปิดเผยถึงการโจมตี DDoS แบบ Amplification รูปแบบใหม่ ที่ใช้โปรโตคอล CLDAP ในการปั๊มทราฟฟิกให้ใหญ่กว่าเดิมถึง 70 เท่า ก่อนส่งไปถล่มเป้าหมาย

ทำความรู้จัก CLDAP และการโจมตีแบบ Amplification DDoS สักเล็กน้อย

โปรโตคอล CLDAP หรือ Connection-less Lightweight Directory Access Protocol นิยามโดย RFC 1798 และถูกอัปเดตด้วย RFC 3352 เป็นโปรโตคอลทางเลือกสำหรับผู้ที่ต้องการใช้ LDAP บน Windows สำหรับเชื่อมต่อ ค้นหา และเปลี่ยนแปลง Internet Directories โปรโตคอลนี้ทำงานบนพอร์ต 389 เช่นเดียวกับ LDAP แต่ต่างกันตรงที่ LDAP ใช้ TCP ส่วน CLDAP ใช้ UDP

การโจมตีแบบ Amplification หรือ Reflection เป็นรูปแบบหนึ่งของการโจมตี DDoS โดยที่แฮ็คเกอร์จะทำการปลอมหมายเลข IP ตัวเองเป็น IP เป้าหมาย แล้วส่ง Request ไปยัง DNS หรือ NTP Server ซึ่ง Request ที่ส่งไปนั้น ไม่ใช่เพื่อขอแปลงชื่อเป็น IP หรือซิงค์เวลาตามปกติ แต่เป็น Request ที่ก่อให้เกิด Response ขนาดใหญ่ แล้วส่งกลับไปยังเป้าหมายแทน เมื่อใช้ร่วมกับ Botnet หลายพันเครื่อง ก็จะทำให้ Bandwidth ของเป้าหมายเต็ม ไม่สามารถให้บริการได้

ใช้โปรโตคอล CLDAP เป็นครั้งแรก ปั๊มทราฟฟิกสูงถึง 70 เท่า

Akamai ระบุว่า ระหว่างเดือนตุลาคม 2016 บริษัทเริ่มตรวจพบการโจมตี DDoS ผ่านโปรโตคอลที่ไม่คุ้นเคย ซึ่งก็คือ CLDAP นั่นเอง ซึ่งสอดคล้องกับที่ทาง Corero ผู้ให้บริการโซลูชัน DDoS Mitigation อีกราย ค้นพบการโจมตีผ่านโปรโตคอล LDAP ซึ่งการโจมตีแบบ DDoS ผ่านโปรโตคอลทั้งสองนี้มีลักษณะเหมือนกัน คือ เป็นการโจมตีแบบ Amplification DDoS ที่น่ากลัวคือ Amplification DDoS ทั่วไปจะปั๊มทราฟฟิกให้ใหญ่กว่าเดิมได้ประมาณ 10 เท่า แต่ LDAP สามารถปั๊มทราฟฟิกโดยเฉลี่ยได้สูงถึง 46 เท่า และสูงสุดที่ 55 เท่า ในขณะที่ CLDAP ดีกว่าเล็กน้อย คือมีค่าเฉลี่ยที่ 56 เท่า ในขณะที่ค่าสูงสุดคือ 70 เท่า

พบการโจมตี DDoS โดยใช้ CLDAP มากถึง 50 ครั้งในช่วง 4 เดือน

หลังจากที่ตรวจพบการโจมตีแบบ CLDAP-based DDoS ครั้งแรกในเดือนตุลาคม 2016 จนถึงตอนนี้พบการโจมตีแล้วมากถึง 50 ครั้ง จาก CLDAP Reflector Server 7,629 เครื่องที่แตกต่างกัน การโจมตีขนาดใหญ่ที่สุดมีขนาด 33 Gbps ซึ่งเพียงพอต่อการล่มเว็บไซต์ได้อย่างง่ายดาย ในขณะที่การโจมตีที่ใช้ CLDAP Request เพียงอย่างเดียว (ไม่มีโปรโตคอลอื่นมาเกี่ยวข้อง) มีขนาดใหญ่ถึง 24 Gbps ซึ่งเป็นสิ่งที่พบเห็นได้ไม่บ่อยนัก เนื่องจากการโจมตีแบบ DDoS ส่วนใหญ่จะใช้หลายโปรโตคอลผสมกันเพื่อหลบเลี่ยงระบบป้องกัน

คาดแฮ็คเกอร์กำลังทดสอบการโจมตีแบบ DDoS รูปแบบใหม่

จากที่พบการโจมตี CLDAP-based DDoS ประปรายถึง 50 ครั้งในช่วง 6 เดือนที่ผ่านมา และการโจมตีขนาดใหญ่ที่ใช้ CLDAP เพียงอย่างเดียว ทำให้สันนิษฐานได้ว่าแฮ็คเกอร์กำลังทดสอบโปรโตคอล CLDAP ในการใช้โจมตีแบบ DDoS อยู่ ถ้าสามารถปั๊มทราฟฟิกได้ถึง 70 เท่าจริง โปรโตคอลนี้จะกลายเป็นโปรโตคอลยอดนิยมสำหรับบริการยิง DDoS ในตลาดมืดทันที เนื่องจากตอนนี้มีอุปกรณ์มากกว่า 250,000 เครื่องที่เปิดพอร์ต 389 พร้อมให้นำมาใช้ปั๊มทราฟฟิก

อ่านรายงานฉบับเต็มเกี่ยวกับการโจมตีแบบ CLDAP-based DDoS [PDF]

ที่มา: https://www.bleepingcomputer.com/news/security/cldap-protocol-allows-ddos-attacks-with-70x-amplification-factor/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[PR] Endless ระบบปฏิบัติการฟรีที่ง่ายต่อการใช้งานพร้อมให้บริการในประเทศไทยแล้ว เจาะกลุ่มผู้ใช้ใหม่สำหรับตลาดคอมพิวเตอร์

กรุงเทพฯ 23 มิถุนายน 2560 – Endless Computers ประกาศเปิดตัวระบบปฏิบัติการ (OS) ในประเทศไทยแล้ววันนี้ สร้างมิติใหม่แก่ตลาดคอมพิวเตอร์ของไทย การเปิดตัวครั้งนี้ยังเป็นการบุกตลาดในภูมิภาคเอเชียตะวันออกเฉียงใต้เป็นครั้งแรกของ Endless อีกด้วย  Endless …

[PR] โลจิเทค เปิดตัวกล้องประชุมทางไกลระดับพรีเมียร์ ‘โลจิเทค มีทอัพ’ เติมเต็มประสิทธิภาพห้องประชุมกลุ่มย่อย ท่ามกลางความนิยมที่เพิ่มขึ้นของการทำงานในพื้นที่เปิดและห้องประชุมขนาดเล็ก พร้อมส่งต่อประสบการณ์ด้านเสียงและวิดีโอที่เหนือกว่า

กรุงเทพฯ, ประเทศไทย –  22 มิถุนายน 2560 – โลจิเทค (SIX: LOGN) (NASDAQ: LOGI) เปิดตัวกล้องประชุมทางไกลระดับพรีเมียร์ โลจิเทค มีทอัพ …