Advertisement

พบการโจมตีแบบ DDoS ใช้โปรโตคอล CLDAP ปั๊มทราฟฟิกทะลุ 70 เท่า

Akamai ผู้ให้บริการเครือข่าย CDN ชั้นนำของโลก ออกมาเปิดเผยถึงการโจมตี DDoS แบบ Amplification รูปแบบใหม่ ที่ใช้โปรโตคอล CLDAP ในการปั๊มทราฟฟิกให้ใหญ่กว่าเดิมถึง 70 เท่า ก่อนส่งไปถล่มเป้าหมาย

ทำความรู้จัก CLDAP และการโจมตีแบบ Amplification DDoS สักเล็กน้อย

โปรโตคอล CLDAP หรือ Connection-less Lightweight Directory Access Protocol นิยามโดย RFC 1798 และถูกอัปเดตด้วย RFC 3352 เป็นโปรโตคอลทางเลือกสำหรับผู้ที่ต้องการใช้ LDAP บน Windows สำหรับเชื่อมต่อ ค้นหา และเปลี่ยนแปลง Internet Directories โปรโตคอลนี้ทำงานบนพอร์ต 389 เช่นเดียวกับ LDAP แต่ต่างกันตรงที่ LDAP ใช้ TCP ส่วน CLDAP ใช้ UDP

การโจมตีแบบ Amplification หรือ Reflection เป็นรูปแบบหนึ่งของการโจมตี DDoS โดยที่แฮ็คเกอร์จะทำการปลอมหมายเลข IP ตัวเองเป็น IP เป้าหมาย แล้วส่ง Request ไปยัง DNS หรือ NTP Server ซึ่ง Request ที่ส่งไปนั้น ไม่ใช่เพื่อขอแปลงชื่อเป็น IP หรือซิงค์เวลาตามปกติ แต่เป็น Request ที่ก่อให้เกิด Response ขนาดใหญ่ แล้วส่งกลับไปยังเป้าหมายแทน เมื่อใช้ร่วมกับ Botnet หลายพันเครื่อง ก็จะทำให้ Bandwidth ของเป้าหมายเต็ม ไม่สามารถให้บริการได้

ใช้โปรโตคอล CLDAP เป็นครั้งแรก ปั๊มทราฟฟิกสูงถึง 70 เท่า

Akamai ระบุว่า ระหว่างเดือนตุลาคม 2016 บริษัทเริ่มตรวจพบการโจมตี DDoS ผ่านโปรโตคอลที่ไม่คุ้นเคย ซึ่งก็คือ CLDAP นั่นเอง ซึ่งสอดคล้องกับที่ทาง Corero ผู้ให้บริการโซลูชัน DDoS Mitigation อีกราย ค้นพบการโจมตีผ่านโปรโตคอล LDAP ซึ่งการโจมตีแบบ DDoS ผ่านโปรโตคอลทั้งสองนี้มีลักษณะเหมือนกัน คือ เป็นการโจมตีแบบ Amplification DDoS ที่น่ากลัวคือ Amplification DDoS ทั่วไปจะปั๊มทราฟฟิกให้ใหญ่กว่าเดิมได้ประมาณ 10 เท่า แต่ LDAP สามารถปั๊มทราฟฟิกโดยเฉลี่ยได้สูงถึง 46 เท่า และสูงสุดที่ 55 เท่า ในขณะที่ CLDAP ดีกว่าเล็กน้อย คือมีค่าเฉลี่ยที่ 56 เท่า ในขณะที่ค่าสูงสุดคือ 70 เท่า

พบการโจมตี DDoS โดยใช้ CLDAP มากถึง 50 ครั้งในช่วง 4 เดือน

หลังจากที่ตรวจพบการโจมตีแบบ CLDAP-based DDoS ครั้งแรกในเดือนตุลาคม 2016 จนถึงตอนนี้พบการโจมตีแล้วมากถึง 50 ครั้ง จาก CLDAP Reflector Server 7,629 เครื่องที่แตกต่างกัน การโจมตีขนาดใหญ่ที่สุดมีขนาด 33 Gbps ซึ่งเพียงพอต่อการล่มเว็บไซต์ได้อย่างง่ายดาย ในขณะที่การโจมตีที่ใช้ CLDAP Request เพียงอย่างเดียว (ไม่มีโปรโตคอลอื่นมาเกี่ยวข้อง) มีขนาดใหญ่ถึง 24 Gbps ซึ่งเป็นสิ่งที่พบเห็นได้ไม่บ่อยนัก เนื่องจากการโจมตีแบบ DDoS ส่วนใหญ่จะใช้หลายโปรโตคอลผสมกันเพื่อหลบเลี่ยงระบบป้องกัน

คาดแฮ็คเกอร์กำลังทดสอบการโจมตีแบบ DDoS รูปแบบใหม่

จากที่พบการโจมตี CLDAP-based DDoS ประปรายถึง 50 ครั้งในช่วง 6 เดือนที่ผ่านมา และการโจมตีขนาดใหญ่ที่ใช้ CLDAP เพียงอย่างเดียว ทำให้สันนิษฐานได้ว่าแฮ็คเกอร์กำลังทดสอบโปรโตคอล CLDAP ในการใช้โจมตีแบบ DDoS อยู่ ถ้าสามารถปั๊มทราฟฟิกได้ถึง 70 เท่าจริง โปรโตคอลนี้จะกลายเป็นโปรโตคอลยอดนิยมสำหรับบริการยิง DDoS ในตลาดมืดทันที เนื่องจากตอนนี้มีอุปกรณ์มากกว่า 250,000 เครื่องที่เปิดพอร์ต 389 พร้อมให้นำมาใช้ปั๊มทราฟฟิก

อ่านรายงานฉบับเต็มเกี่ยวกับการโจมตีแบบ CLDAP-based DDoS [PDF]

ที่มา: https://www.bleepingcomputer.com/news/security/cldap-protocol-allows-ddos-attacks-with-70x-amplification-factor/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Seagate จับมือ DJI เปิดตัว 2TB HDD สำหรับ Drone โดยเฉพาะ

เพื่อตอบโจทย์การบันทึกภาพวิดีโอความละเอียดสูงของ Drone ให้ได้เป็นเวลานาน ทาง Seagate จึงได้จับมือกับ DJI เพื่อพัฒนา Fly Drive อุปกรณ์ HDD ความจุ 2TB สำหรับติดตั้งไปกับ …

Google Cloud ประกาศ จะแซง Amazon Web Services ให้ได้ภายในปี 2022

Diane Greene หัวหน้าของ Google Cloud ได้ออกมาเปิดเผยในงาน CIO Summit ซึ่งจัดโดย Forbes ว่า Google Cloud นั้นจะแซง Amazon …