大家都知道前不久出現的DDoS攻擊“Mirai”，導致美國半數的互聯網癱瘓，是不是很厲害啊，現在下面就為大家介紹一個最新的DDoS攻擊，要讓DDoS攻擊力更彪悍。

LDAP

據Corero網絡安全公司披露，上周發現一種新型DDoS攻擊媒介針對其客戶發起攻擊。這種攻擊技術是一種利用輕量目錄訪問協議(Lightweight Directory Access Protocol，LDAP)的放大攻擊，峰值可以達到Tb級別。LDAP是訪問類似Active Directory數據庫用戶名和密碼使用最廣泛的協議。它是基于X.500標準的，但是簡單多了并且可以根據需要定制。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。

LDAP模式

LDAP DDoS攻擊其實是安全領域的新事物，這種LDAP協議可能會被黑客濫用，然后推動大規模的DDoS攻擊。

據Corero公司網絡安全專家披露，他們已經發現了LDAP DDoS攻擊的實例。在這起攻擊中，黑客利用了CLDAP協議中的零日漏洞來發起攻擊，其實在之前就發生過類似的攻擊。更令人擔心的是，專家認為這將有可能成為黑客的又一個選擇。

聞所未聞，黑客利用LDAP協議的漏洞實施攻擊可以讓放大系數達到46，在特定條件下，峰值甚至能達到55。

Corero的安全專家解釋了黑客如何利用CLDAP進行攻擊：

攻擊者可以從偽造地址(受害人地址)向支持CLDAP(無連接輕量級目錄訪問協議)的服務器發送一個請求。當LDAP服務器處理請求之后，便會向發送人的地址發送回復。而LDAP服務器準備發送的回復內容是原請求內容的數倍。

正是由于LDAP服務器回復的內容是原請求內容的數倍，所以放大技術才允許慣犯擴大他們攻擊的規模。在受攻擊的情況下，LDAP服務器的響應能夠達到非常高的帶寬，就像我們已經看到的那樣，平均放大系數為46倍，而在攻擊高峰期，這個數值更是達到了55倍。

LDAP DDoS IOT

LDAP DDoS攻擊能夠導致非常嚴重的后果，有專家指出，這種攻擊產生的通信流量峰值能達到每秒數萬兆。試想一下，網絡擁堵會達到什么地步?

Corero公司CTO/COO Dave Larson:

這種媒介的出現，是原本就已經很危險的DDoS攻擊如虎添翼，將使DDoS更可怕。當與其他方式，特別是與IoT僵尸網絡結合后，我們會發現，這種攻擊會達到前所未有的規模，并且影響深遠。千兆級別的攻擊將會成為現實、常態，互聯網的可用性也可能會受到極大的影響——至少，在某些地方，可用性將會降低。

同時，Dave還表示：

LDAP不是第一個，當然也不會是最后一個被LDAP DDoS利用的協議或服務。之所以會發生諸如此次的攻擊事件，就是因為網絡上的開放式服務器會對偽造記錄請求進行響應。當然，通過正確的方式，也能減少這種攻擊的發生。比如，加強檢測，在偽造的IP地址進入網絡前就識別出來。最常見的做法就是，在路由器配置過程中，采用入口過濾技術根除偽造IP地址，這樣將會使反射型DDoS總量減少一個數量級。