Злоумышленники используют протокол LDAP для DDoS-атак

Как сообщает австралийская ИБ-компания Corero Network Security, для усиления DDoS-атак злоумышленники взяли на вооружение еще один популярный протокол. Речь идет о Lightweight Directory Access Protocol (LDAP) – протоколе, использующемся для доступа к логинам и паролям в базах данных наподобие Active Directory и интегрированном со многими online-сервисами.

Эксперты компании столкнулись с DDoS-атакой на своих клиентов, отраженной и усиленной с помощью Connectionless LDAP (CLDAP). Данный протокол представляет собой вариант LDAP, использующий UDP.

Отражение – это техника осуществления DDoS-атаки, в ходе которой злоумышленник отправляет с поддельного IP-адреса (адреса жертвы) запросы к различным серверам, которые затем отправляют ответы не действительному отправителю, а на этот адрес. Запросы отправляются различным сервисам, использующим UDP, поскольку в отличие от TCP данный протокол не проверяет подлинность адресов. Как правило, злоумышленники используют в атаках DNS, NTP, SNMP, SSDP, CHARGEN, а теперь к этому списку добавился еще и CLDAP.

LDAP зачастую применяется в корпоративных сетях, поскольку использовать его непосредственно в интернете рискованно. Тем не менее, существует немало серверов, использующих данный протокол и доступных через интернет.