如今，DDoS攻擊活動規模越來越大，一種濫用CLDAP進行反射攻擊的新方法可能會允許惡意攻擊者使用較少的設備生成大量DDoS流量，企業需對其提高重視。

Akamai威脅研究人員Jose Arteaga和Wilber Mejia已經發現有攻擊者利用無連接輕量目錄訪問協議（CLDAP）執行危險的反射攻擊。

“自2016年10月以來，Akamai已經發現并緩解共50次CLDAP反射攻擊。在這50次攻擊事件中，33次攻擊是僅使用CLDAP反射的單向量攻擊，”Arteaga和Mejia寫道，“雖然游戲行業通常是DDoS攻擊的主要目標，但我們觀察到的CLDAP攻擊主要針對軟件和技術行業以及其他六個行業。”

CLDAP反射攻擊方法最早由Corero Network Security在2016年10月發現，當時研究人員估計這種攻擊可將初始響應放大到46到55倍，這意味著使用較少資源即可發起高效率的反射攻擊。

根據Akamai記錄，在利用CLDAP反射作為唯一攻擊向量的最大攻擊中，52字節的有效載荷被放大至高達70倍（3662字節），峰值帶寬為24Gbps，每秒200萬數據包。

雖然這遠遠小于Mirai觀察到的高達1Tbps的峰值帶寬，但咨詢公司Rendition InfoSec LLC創始人Jake Williams稱，這種放大因素可讓低帶寬用戶對擁有更高帶寬的企業進行DDoS攻擊。

“與DNS DDoS一樣，CLDAP是一種放大DDoS攻擊。攻擊者擁有相對有限的帶寬，通過將小型消息發送到服務器以及掩飾來源，服務器會向受害者發送大量的響應信息，”Williams稱，“你只能有效地欺騙無連接協議的來源，所以CLDAP明顯存在風險。”

Arteaga和Mejia稱企業可通過阻止特定端口來限制這種反射攻擊。

“與很多其他反射和放大攻擊向量類似，如果企業部署適當的入站過濾機制，這種攻擊就無法有效執行，”Arteaga和Mejia在博文中稱，“通過互聯網掃描以及過濾用戶數據報協議（UDP）目標端口389可發現潛在主機。”

Williams也認為贊成入站過濾會有所幫助，并指出“CLDAP在2003年已經正式推出IETF標準”，使用Active Directory的企業需要注意這個威脅。

“Active Directory支持CLDAP，這可能是我們看到CLDAP服務器暴露在互聯網上的最大原因，”Williams稱，“電子郵件目錄服務器可能是另一個原因，盡管這種情況不太常見。”