Pour gérer vos consentements :

Quand le protocole CLDAP amplifie les DDoS

A l’heure de la rentrée des vacances de Pâques, l’écosystème des attaques DDoS accueille un nouvel élément : le protocole CLDAP. Ce dernier est l’acronyme de Connection-less Lightweight Directory Access Protocol. Il est défini par la RFC 1798 remplacée par la RFC 3352. Il s’agit d’une alternative au protocole LDAP qui, tout comme lui, permet l’interrogation et la modification des services d’annuaire. Les deux protocoles utilisent le port 389. Mais LDAP passe en TCP, alors que CLDAP fonctionne en mode UDP.

En octobre 2016, Akamai a commencé à détecter des attaques DDoS via un protocole inconnu qui s’est révélé être CLDAP. Cette découverte était concomitante avec celle de l’éditeur Corero sur des attaques basées sur LDAP. Pour Akamai, les deux types d’offensives étaient menés de manière similaire avec la volonté d’amplifier les attaques. Concrètement, un attaquant envoie une requête LDAP ou CLDAP à un serveur LDAP avec une adresse IP falsifiée. La victime, en répondant à l’adresse usurpée, envoie du trafic réseau intempestif vers la cible du pirate. On appelle cela la réflexion, car l’attaquant envoie plusieurs milliers de requêtes réfléchies vers la cible de l’attaque.

Un fort facteur d’amplification

Les attaques DDoS par LDAP ou CLDAP sont amplifiées, c’est-à-dire que le paquet géré par le serveur LDAP s’agrandit pendant le traitement. Habituellement sur d’autres protocoles, le facteur d’amplification est de 10, ce qui signifie qu’un paquet de 1 octet est envoyé sur le serveur vulnérable et amplifié à 10 octets. Dans le cas de LDAP, Corero estime que le facteur d’amplification est de 46 en moyenne avec des poussées jusqu’à 55. En ce qui concerne les attaques CLDAP, le facteur est plus puissant avec 56 en moyenne et 70 en crête.

Dans son rapport Akamai indique que depuis le 14 octobre 2016, date de la première attaque DDoS sur CLDAP, il y a eu 50 charges au total, provenant de 7629 réflecteurs CLDAP uniques, c’est-à-dire des serveurs LDAP avec le port 389 exposés sur Internet. Le site Shodan, qui répertorie les connexions de la Toile, considère qu’il y a actuellement 250 000 terminaux dont le port 389 est exposé sur Internet. La plus grande offensive a affiché un pic de 24 Gbit/s, suffisant pour faire tomber un site Web. Les experts d’Akamai considèrent que les attaquants ont voulu tester cette technique de réflexion et d’amplification. Avec dans l’optique de proposer cette procédure dans un portefeuille de DDoS as Service. Il faut donc s’attendre à voir les attaques par saturation via LDAP et CLDAP augmenter et se perfectionner.

A lire aussi :

Les attaques DDoS, l’autre machine à cash des cybercriminels

Augmentation de 140% des attaques DDoS à plus de 100 Gbit/s en 2016

Rusty Russ via VisualHunt / CC BY-NC-ND

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

3 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

3 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

3 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

3 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

3 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

3 semaines ago