นักวิจัยค้นพบวิธีใช้ LDAP ในการทำ DDoS ใส่เป้าหมาย ขยาย Traffic ได้สูงสุด 55 เท่า

LDAP บน Public IP สามารถถูกนำมาใช้ทำ DDoS ได้ แนะนำให้ปิดพอร์ตหรือตั้ง Firewall ป้องกันโดยด่วน

Dave Larson แห่ง Corero Network Security นั้นได้ตรวจพบการทำ DDoS ที่ระดับ 22Gbps, 28Gbps และ 70Gbps ในช่วงวันศุกร์และวันเสาร์ที่ผ่านมา และพบว่าการโจมตีเหล่านั้นใช้ช่องโหว่ของ Lightweight Directory Access Protocol หรือ LDAP ในการโจมตี ซึ่งถ้าหากนำการโจมตีนี้ไปผสมกับ Mirai Botnet แล้วน่าจะสร้างความเสียหายได้ถึงหลักเกินกว่า 10Tbps ได้เลยทีเดียว

การโจมตีนี้เริ่มต้นจากการค้นหาระบบที่มีการเปิดพอร์ต 389 สำหรับทำการเชื่อมต่อ LDAP แบบ Connectionless เอาไว้ จากนั้นจึงทำการ Spoof IP Address เป็น IP ของเป้าหมายที่ต้องการโจมตี แล้วทำการ Query ไปยัง Server เหล่านั้น เพียงเท่านี้ก็จะสามารถทำ DoS ได้อย่างง่ายๆ ด้วย Traffic ปริมาณมหาศาลแล้ว โดยจากการทดสอบนั้นพบว่า Traffic นั้นถูก Amplify ขึ้นไปโดยเฉลี่ย 46 เท่า และสูงสุดเพิ่มขึ้นถึง 55 เท่าเลยทีเดียว

แนวทางป้องกันนั้นก็คือเหล่าผู้ให้บริการหรือเจ้าของ Server นั้นไม่ควรเปิดให้ระบบภายนอกเชื่อมต่อเข้ามายัง LDAP ของระบบภายในได้เลย รวมถึงการตั้ง Firewall Policy ก็ควรมีความรัดกุมในการเปิดให้บริการพอร์ต 389 ด้วยเช่นกัน

ISP ในไทยก็ลองนำแนวทางนี้ไปปรับใช้กันได้นะครับ

ที่มา: http://www.scmagazine.com/zero-day-ddos-attack-vector-leverages-ldap-to-amplify-malicious-traffic/article/568225/