CLDAP Reflection DDoS
0x01 LDAP:
- 全稱為Lightweight Directory Access Protocol,即輕量目錄訪問協議,基於X.500標准;
- 目錄服務就是按照樹狀存儲信息的模式;
- 支持TCP/IP;
- 端口 389 (明文) / 636 (LDAP over SSL)
0x02 CLADP:面向無連接的LDAP,解決LDAP在數據傳輸時,綁定操作和數據搜索等頻繁的操作對資源的消耗問題。
0x03 CLDAP的DDoS原理:
- CLDAP中只提供三種操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest;
- 在不提供身份驗證功能的情況下,客戶端可以使用UDP數據報對LDAP服務器389端口發起操作請求。
- 客戶端發起searchRequest,服務端返回searchResEntry和searchResDone兩條應答消息;該操作具有較小數據包反射出較大數據包的效果,這一缺陷可被利用進行反射放大DDoS攻擊。
0x04 該數據包流量的特點:
可以看到在這個數據流中,請求數據中有searchRequet ,且數據包也不是很大;返回包是請求包的14倍了,且有searchResEntry和searchResDone字樣。除此流量特征外,還要結合總流量的速率和大小判斷。
二次確認,查看389端口是否開啟。。。驗證方法具體待定。