سو استفاده از پروتکل LDAP و حملات DDOS

LDAP یک پروتکن لایه کاربردی است که برای دسترسی به سرویس دایرکتوری در شبکه مورد استفاده قرار گرفته است و امکان دسترسی به جستجو در فهرست اطلاعات کاربران، سیستم ها، شبکه ها، سرویس ها و برنامه های کاربردی را میسر میسازد. پورت این پروتکل به صورت پیش فرض 389 است و از پروتکل های TCP و UDP استفاده میکند. این پروتکل در صورت تنظیم نامناسب و  در نظر نگرفتن ملاحظات امنیتی میتواند مورد سوء استفاده قرار گیرد و در حملات DDOS استفاده شود.

Open-LADP یک نرم افزار منبع آزاد است که پروتکل LDAP را پیاده سازی کرده است و نسخه های گوناگون آن در سیستم عامل های مختلف مورد استفاده قرار میگیرد.

حال میخواهیم بدانیم حملات LDAP reflection-amplification DDoS چیست؟

استفاده از روش تقویت ترافیک Amplication، شیوه ای برای اجرای حمله DDOS میباشد. اساس این روش ارسال یک درخواست با طول کم به یک سوریس دهنده آسیب پذیر و دریافت پاسخ با طول زیاد می باشد.

حمله کننده با قرار دادن آدرس IP جعلی فرد قربانی و ارسال درخواست های متوالی با طول کم به یک و یا چندین سرور موجب ارسال حجم زیادی ترافیک به سمت قربانی میشود. نکته کلیدی، طول پاسخ بازگردانده شده از سولیسرور می باشد. هر چه اندازه پاسخ نسبت به درخواست ارسال شده بیشتر باشد، ترافیک نهایی به سمت قربانی نیز بیشتر میشود.

به عبارتی دیگر در برخی از پروتکل ها همچون پروتکل LDAP، ارسال یک درخواست کم حجم مناسب که آدرس IP  فرد قربانی به جای آدرس مبداء قرار گرفته است، می تواند یک پاسخ خروجی که اندازه آن بسیار بزرگتر از درخواست اولیه می باشد را تولید کند. این ترافیک تقویت شده میتواند به دفعات برای فرد قربانی ارسال شود. نسبت حجم ترافیک دریافتی توسط فرد قربانی به ترافیک ارسالی فرد حمله کننده به عنوان شاخص تقویت حملات انعکاس DDOS شناخته میشود. برای پروتکل LDAP معمولا این مقدار بیش از 45بوده که رقمی قابل توجه است.

خب بنابراین برای سوء استفاده کافی است فرد مهاجم فهرستی از آدرس های IP قابل دسترس از ریق شبکه اینترنت که سرویس LDAP بر روی آنها فعال است را یافته و به روش فوق از آنها سوء استفاده نماید.