Breaking News

นักวิจัยค้นพบวิธีใช้ LDAP ในการทำ DDoS ใส่เป้าหมาย ขยาย Traffic ได้สูงสุด 55 เท่า

LDAP บน Public IP สามารถถูกนำมาใช้ทำ DDoS ได้ แนะนำให้ปิดพอร์ตหรือตั้ง Firewall ป้องกันโดยด่วน

Credit: Duc Dao/ShutterStock
Credit: Duc Dao/ShutterStock

Dave Larson แห่ง Corero Network Security นั้นได้ตรวจพบการทำ DDoS ที่ระดับ 22Gbps, 28Gbps และ 70Gbps ในช่วงวันศุกร์และวันเสาร์ที่ผ่านมา และพบว่าการโจมตีเหล่านั้นใช้ช่องโหว่ของ Lightweight Directory Access Protocol หรือ LDAP ในการโจมตี ซึ่งถ้าหากนำการโจมตีนี้ไปผสมกับ Mirai Botnet แล้วน่าจะสร้างความเสียหายได้ถึงหลักเกินกว่า 10Tbps ได้เลยทีเดียว

การโจมตีนี้เริ่มต้นจากการค้นหาระบบที่มีการเปิดพอร์ต 389 สำหรับทำการเชื่อมต่อ LDAP แบบ Connectionless เอาไว้ จากนั้นจึงทำการ Spoof IP Address เป็น IP ของเป้าหมายที่ต้องการโจมตี แล้วทำการ Query ไปยัง Server เหล่านั้น เพียงเท่านี้ก็จะสามารถทำ DoS ได้อย่างง่ายๆ ด้วย Traffic ปริมาณมหาศาลแล้ว โดยจากการทดสอบนั้นพบว่า Traffic นั้นถูก Amplify ขึ้นไปโดยเฉลี่ย 46 เท่า และสูงสุดเพิ่มขึ้นถึง 55 เท่าเลยทีเดียว

แนวทางป้องกันนั้นก็คือเหล่าผู้ให้บริการหรือเจ้าของ Server นั้นไม่ควรเปิดให้ระบบภายนอกเชื่อมต่อเข้ามายัง LDAP ของระบบภายในได้เลย รวมถึงการตั้ง Firewall Policy ก็ควรมีความรัดกุมในการเปิดให้บริการพอร์ต 389 ด้วยเช่นกัน

ISP ในไทยก็ลองนำแนวทางนี้ไปปรับใช้กันได้นะครับ

ที่มา: http://www.scmagazine.com/zero-day-ddos-attack-vector-leverages-ldap-to-amplify-malicious-traffic/article/568225/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cloudflare รับมือกับ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที ด้วยระบบอัตโนมัติได้อย่างไร

Cloudflare ได้ออกมาเปิดเผยว่าตนถูก DDoS Attack หลายต่อหลายครั้งช่วงปลายมิถุนายนที่ผ่านมา ซึ่งความน่าประทับใจคือระบบอัตโนมัติสามารถจัดการการโจมตีขนาดสูงสุดกว่า 754 ล้านแพ็กเก็ตต่อวินาทีได้ตลอดความพยายามหลายรูปแบบกว่า 4 วันของคนร้าย โดยที่ทีมงานไม่ได้รับการเตือนจากระบบหรือเสียงบ่นจากลูกค้าว่ามีปัญหาด้วยซ้ำ

Imperva ออกบริการ Cloud Data Security

Imperva ได้เล็งเห็นถึงความสำคัญของการใช้งาน Database-as-a-Service (DBaaS) ซึ่งปัจจุบันยังไม่มีโซลูชันป้องกันเพียงพอ ด้วยเหตุนี้เองจึงนำเสนอบริการ SaaS ใหม่ที่ชื่อ Cloud Data Security เพื่อเติมเต็มจุดประสงค์นี้