CLDAP Reflection DDoS

0x01 LDAP:

  • 全称为Lightweight Directory Access Protocol,即轻量目录访问协议,基于X.500标准;
  • 目录服务就是按照树状存储信息的模式;
  • 支持TCP/IP;
  • 端口 389 (明文) / 636 (LDAP over SSL)

0x02 CLADP:面向无连接的LDAP,解决LDAP在数据传输时,绑定操作和数据搜索等频繁的操作对资源的消耗问题。

0x03 CLDAP的DDoS原理:

  • CLDAP中只提供三种操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest;
  • 在不提供身份验证功能的情况下,客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。
  • 客户端发起searchRequest,服务端返回searchResEntry和searchResDone两条应答消息;该操作具有较小数据包反射出较大数据包的效果,这一缺陷可被利用进行反射放大DDoS攻击。

0x04 该数据包流量的特点:

CLDAPReflectionDDoS(CLDAP反射放大攻击)-LMLPHP

可以看到在这个数据流中,请求数据中有searchRequet ,且数据包也不是很大;返回包是请求包的14倍了,且有searchResEntry和searchResDone字样。除此流量特征外,还要结合总流量的速率和大小判断。

二次确认,查看389端口是否开启。。。验证方法具体待定。

05-11 19:56