ake78 (3D & photo) - Fotolia

F

Wie wird CLDAP für DDoS-Reflektionsattacken missbraucht?

Eine Schwachstelle im CLDAP-Server lässt sich ausnutzen, um Distributed-Denial-of-Service-Angriffe bis zu 70-fach zu verstärken. So können Unternehmen sich schützen.

Forscher von Akamai haben herausgefunden, dass Angreifer bei Reflektionsattacken verstärkt auf CLDAP (Connectionless Lightweight Directory Access Protocol) setzen. Durch solche Methoden lassen sich DDoS-Attacken deutlich verstärken. Im Gegensatz um bekannteren DLAP nutzt CLDAP das verbindungslose User Datagram Protocol (UDP). Damit können Angreifer eine Vielzahl von CLDAP-Anfragen generieren, die das jeweilige Ziel überlasten. Laut den Forschern von Akamai können solche Techniken die Stärke der DDoS-Attacke um den Faktor 70 erhöhen.

Dazu kommt, dass eine Abwehr schwierig ist. Um sich gegen eine DDoS-Reflektionsattacke zu wehren, müssen Verteidiger an mehreren Stellen ansetzen. Für eine erfolgreiche Verteidigung sind oft unterschiedlichste Stellen in verschiedenen Organisationen gefragt.

Unternehmen selbst können dabei auf DDoS-Abwehrprogramme setzen. Diese bieten oftmals auch einen Schutz gegen DDoS-Reflektion, allerdings sollten es nicht die einzige Maßnahmen sein. Organisationen sollten darüber hinaus sicherstellen, dass keines ihrer Geräte für DDoS-Angriffe missbraucht wird. Die Gerätehersteller ihrerseits müssen gewährleisten, dass ihre Produkte die entsprechenden Schutzkonzepte bieten.

Zusätzlich sollten nicht genutzte Funktionen und Features deaktiviert werden. Geräte, die direkt im Internet verfügbar sind, sollten nur eine minimale Funktionsvielfalt bieten – ein Webserver etwa sollte keine DNS-Funktionen oder NTP-Server anbieten. So lässt sich verhindern, dass die jeweiligen Geräte gegen Attacken anfällig sind.

Server richtig schützen

Firmen sollten zudem vor allem die Server schützen, die besonders häufig attackierte Dienste anbieten. Wer etwa intern DNS oder NTP anbietet, sollte diese Clients per Firewall von Attacken aus dem Internet schützen. Müssen die Systeme mit dem Internet kommunizieren, können Limitierungen helfen. Andere Lösungen liefert die Internet Engineering Task Force (IETF) in ihrem Dokument Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing (PDF)

Die Abwehr der Attacken beginnt mit dem Verstehen von CLDAP. Dazu gehört das Beantworten der Frage, warum das eigene Unternehmen einen CLDAP- oder LDAP-Server betreibt, welche IP-Adresse zugewiesen ist und ob die Server aus dem Internet erreichbar sind. Die effektivste Abwehr ist es, den Zugriff auf LDAP-Server aus dem Internet zu blockieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DDoS-Anfälligkeit für Unternehmen reduzieren

Richtig auf DDoS-Angriffe vorbereiten

DDoS-Abwehrdienste: Das sollten Unternehmen vor dem Einsatz wissen

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Schutz vor DOS-Angriffen (Denial-of-Service)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close