CLDAP를 이용한 DDoS 공격 증가

 

•  해외 보안업체인 아카마이社, 작년 10월 CLDAP 기반 DDoS가 처음 발견된 이후 현재까지 50번의 공격이 더 발생했다고 밝힘
   

 

주요내용

 

• CLDAP(Connection-less Lightweight Directory Access Protocol)란
  - LDAP란 경량 디렉토리 엑세스 프로토콜의 약자로 사이버 TCP/IP에서 디렉토리 서비스를 조회하고 수정하는 응용 프로토콜을 말함
  - CLDAP란 클라이언트들이 마이크로소프트 액티브 디렉토리 네트워크로부터 서버의 사용자 계정과 비밀번호에 접근할 때 사용됨
  - 최근 DDoS공격 중 LDAP/CLDAP 두 개의 프로토콜을 이용하는 공격이 자주 발견되고 있음

1. CLDAP DDoS 공격 특징
   - CLDAP 프로토콜은 통신할 때 TCP가 아닌 UDP를 사용하기 때문에 패킷 송신 IP를 확인하지 않고, 이를 이용한 DDoS 공격의 증폭은 56%가 넘는다고 함
   - 공격 방식은 해커가 여러 LDAP서버에 자기 자신의 IP를 타겟 IP로 변조하여 쿼리를 보내면, 서버는 데이터를 처리한 후 증폭된 응답 패킷을 변조된 타겟 IP로 보내는 방식임
    

시사점

• LDAP 프로토콜 기반 DDoS공격 유형에 대하여 동향 파악 및 점검 요망
  
   

[출처]
1. Bleepingcomputer “CLDAP Protocol Allows DDoS Attacks with 70x Amplification Factor”, 2017.4.14.