CLDAP Reflection DDoS
0x01 LDAP:
- 全称为Lightweight Directory Access Protocol,即轻量目录访问协议,基于X.500标准;
- 目录服务就是按照树状存储信息的模式;
- 支持TCP/IP;
- 端口 389 (明文) / 636 (LDAP over SSL)
0x02 CLADP:面向无连接的LDAP,解决LDAP在数据传输时,绑定操作和数据搜索等频繁的操作对资源的消耗问题。
0x03 CLDAP的DDoS原理:
- CLDAP中只提供三种操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest;
- 在不提供身份验证功能的情况下,客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。
- 客户端发起searchRequest,服务端返回searchResEntry和searchResDone两条应答消息;该操作具有较小数据包反射出较大数据包的效果,这一缺陷可被利用进行反射放大DDoS攻击。
0x04 该数据包流量的特点:
可以看到在这个数据流中,请求数据中有searchRequet ,且数据包也不是很大;返回包是请求包的14倍了,且有searchResEntry和searchResDone字样。除此流量特征外,还要结合总流量的速率和大小判断。
二次确认,查看389端口是否开启。。。验证方法具体待定。