CLDAP反射放大攻击超过SSDP和CharGen成为第三大反射型DDoS攻击

作者：Xu Yang，kenshin

利用DDoSMon.net，我们实时并持续的监控全球DDoS攻击相关事件。长期以来，DDoS攻击的反射放大细分类型中，DNS、NTP、CharGen、SSDP是最经常被滥用的服务，过去一年中的排位依次是第1、2、3、4位。

近期我们注意到， 基于CLDAP的 反射放大攻击（以下称为CLDAP攻击）已经超过SSDP和CharGEN成为第三大反射型DDoS攻击。CLDAP攻击在过去365天和90天在反射放大类DDoS攻击中占据比例，对比如下图：

数据来源：DDoSMon。网站上Insight页面的内容可以覆盖本次blog中的大部分数据。

CLDAP攻击首次出现是在去年10月底，到现在恰好一年。本篇blog中，我们对CLDAP攻击上升情况做一个回顾：

• 在过去的一年中，我们累积观察到304,146次CLDAP反射放大攻击，涉及215,229 个独立IP，或者说受害者。CLDAP早已经成为现实存在的DDoS攻击威胁。
• 值得注意的是，最近两三个月以来，CLDAP攻击发展进入新的阶段。在我们的监测范围内，过去三个月内CLDAP攻击次数累积达到168k(11.2%)次，略超过CharGen （164k次，11%），大幅领先SSDP（70k，4.4%）。

我们OpenData中的DRDoS数据中包括了CLDAP在内的最近一月的TOP反射点IP，符合条件的安全研究人员可以免费通过 netlab@360.cn 申请数据下载权限。

阶段划分

上图是过去一年中每周CLDAP攻击的次数，反映了CLDAP攻击的活跃程度。

回顾过去一年中CLDAP攻击，我们可以比较清晰的将过去一年划分为三个阶段：

• 初始阶段：2016年10月底开始出现到2017年4月初，周均攻击1000次左右
• 第一次爬升阶段：2017年4月初到2017年8月底，周均攻击次数6000次左右
• 第二次爬升阶段：2017年8月底至今，周均攻击15000次左右

我们认为，CLDAP攻击在经历了早期的起伏后，在最近两三个月已经进入一个相对稳定的发展阶段。

另一方面，我们在观察反射点的重用程度时，也注意到了类似的时间阶段划分。数据同样表明最近两三个月是一个稳定发展的阶段：

攻击向量组合

在所有CLDAP攻击中，单一的CLDAP攻击方式目前仍然是主流。如下表，单一CLDAP攻击向量占据超过84%的比例；剩下的是CLDAP与其他攻击向量混合的攻击，共计占据大约15%的比例。

持续时长分布

CLDAP攻击的持续时长变化比较大：最短的攻击小于1分钟，最长攻击我们曾经观察到持续超过3天。如下图所显示，1、2、3个标准差（68%, 95%, 99.7%）对应的攻击时长分别是30分钟、10小时和24小时。

上文提到的长达3天的攻击，发生在2017-09-24 15:00:00～2017-09-28 09:00:00之间。受害者IP地址(151...15)属于某CDN厂商。

目的端口分布

受害者目的端口的分布如下表所示:

• 绝大部分CLDAP攻击的目的端口是随机化的，与一般情况一致。通常而言，反射型DDoS攻击中的目的端口是攻击者可以随意控制并篡改的，目的端口随机化是普遍现象。
• 但是在80端口和 26383 端口上可以观察到有两个显著的波峰，特别是 26383 端口并不是一个常用端口。这也许是因为某个特定的CLDAP攻击工具或者攻击服务提供商被很多攻击者使用，从而在攻击中反复出现。