ake78 (3D & photo) - Fotolia

F

Wie funktionieren DDoS-Amplification-Attacken per CLDAP-Protokoll?

DDoS-Attacken über das CLDAP-Protokoll sind eine relativ neue Bedrohung für Unternehmen. Die Angriffsfläche lässt sich aber reduzieren.

Das Sicherheitsunternehmen Corero hat eine neue Art von DDoS-Amplification-Attacke entdeckt, die auf das Connectionless LDAP Protokoll setzt. DDoS-Angriffe nehmen sowohl hinsichtlich der absoluten Anzahl als auch im Hinblick auf die Art der genutzten Techniken zu. Fast wöchentlich versuchen sich die Kriminellen an neuen Verfahren, um DDoS-Verteidigungsmaßnahmen in Unternehmen zu umgehen.

Neuerdings bedienen sich die Angreifer für DDoS-Angriffe des CLDAP-Protokolls, einer Variante des LDAP-Protokolls. Das „C“ in CLDAP steht dabei für „Connectionless“, das Protokoll nutzt das User Datagram Protocol (UDP) für den Transport der Daten. DDoS-Angreifer lieben UDP, da es den Absender nicht verifiziert und sich so missbrauchen lässt.

Da UDP die Quelladresse nicht verifiziert, können Angreifer hier die Daten ihrer Opfer eintragen. Ein so manipulierter CLDAP-Protokollserver schickt anschließend brav Daten an die angegebene Quelladresse – nur, dass es sich dabei um das Opfer handelt, das mit ungewollten Anfragen bombardiert wird. Der Angreifer nutzt dabei nicht nur einen Server, sondern zahlreiche. Durch die gefälschten Anfragen reflektieren die CLDAP-Server die Daten auf das Opfer – der Angreifer selbst bleibt dabei komplett unbekannt.

Das CLDAP-Protokoll lässt sich auch für DDoS-Amplification-Attacken nutzen. Dabei ist die beim Opfer eingehende Anfrage größer als die ursprüngliche Anfrage. Teilweise nimmt dies extreme Ausmaße an, laut den Experten von Corero können solche gefälschten Datenpakete zwischen 46- und bis zu 55-mal größer sein, verglichen mit dem ursprünglichen Request. Damit fluten die gefälschten Anfragen nicht nur die Zielserver mit eben einer hohen Anzahl derselben, sondern überschütten diese auch mit vergleichsweise großen Datenpaketen. So lassen sich Attacken fahren, die die Ressourcen des Zielsystems schnell in die Knie zwingen können.

Abwehrmaßnahmen

Die beste Abwehr gegen diese Angriffe ist für Unternehmen, ihre eigenen CLDAP-Protokollserver nicht über das Internet verfügbar zu machen. Funktionen sollten dabei nicht eingeschränkt sein, normalerweise werden diese Systeme für den internen Datenabgleich benötigt und müssen nicht vom Internet aus erreichbar sein. Kriminelle nutzen in erster Linie Server, die von Firmen aus Versehen mit dem Web kommunizieren können. Diese eignen sich ziemlich gut für solche Angriffe, da die Server normalerweise mehr Ressourcen haben als einfache Arbeitsstationen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie man sich auf DDoS-Angriffe vorbereiten kann

So können Unternehmen ihre DDoS-Anfälligkeit reduzieren

DDoS-Angreifer nutzen Cloud-Dienste

DDoS-Abwehrdienste: Was Sie vor dem Einsatz wissen sollten

Artikel wurde zuletzt im Februar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close