DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析

0x00 背景

      突然发现某台服务器出现大量的流量攻击，峰值达到24.7G, 阿里云进行异常告警，以此为案例进行延伸思考学习。

 

0x01 CLDAP协议 Reflection DDoS攻击响应

1. 缺陷原理

    轻量目录访问协议（LDAP）被定义在RFC2251（LDAPv3）中，由于LDAP是以TCP字节流的方式进行数据传输，其必要的绑定操作和频繁的数据搜索查询会在一定程度消耗较多的TCP连接资源，于是IETF在1995年发布了面向无连接的轻量目录访问协议（CLDAP），官方文档为RFC1798（2003年 RFC3352将CLDAP置为历史状态）。在CLDAP中只提供三种操作：searchRequest、searchResponse （searchResEntry和searchResDone）、abandonRequest，在不提供身份验证功能的情况下，客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。由于客户端发起searchRequest后服务端将返回searchResEntry和searchResDone两条应答消息，一般情况下执行该操作将具有较小数据包反射出较大数据包的效果，这一缺陷随即被利用进行反射放大DDoS攻击。

2.攻击原理

  1、允许无连接的Windows AD 服务器存在以下问题：

A: Windows AD 服务器允许未经身份验证的客户端对服务器的配置状态、功能和扩展属性进行查询（也被称作“AD ping”）；

B: 开放389 TCP/UDP到公网，允许任意来源IP访问。（存在这些缺陷的服务器，我们简称，允许无连接的Windows AD 服务器）

2、黑客冒用伪造（企业网站IP）利用CLDAP协议 Reflection 缺陷 向数量众多的无连接的Windows AD 服务器发起请求，进行searchResEntry查询，导致数量众多的无连接的Windows AD 服务器向企业网站IP 返回大量的searchResDone响应。

具体如下图所示：

3. 验证脚本

Exploit-DB上已经有安全研究者公开了Perl利用脚本；或者使用Nmap的ldap-rootdse脚本也可以对该缺陷进行扫描确认：

nmap -Pn -sSU 389,636 -- ldap-rootdse

0x02 CLDAP协议 Reflection DDoS流量分析

我们接收到告警，然后到服务器进行流量包捕获，

1、wireshark过滤：cldap contains root

2、CLDAP攻击效果图

 

如需攻击样本，请私信或者留言。

0x03 参考文档

https://www.freebuf.com/articles/network/181884.html

https://searchsecurity.techtarget.com.cn/11-24347/

 

欢迎大家分享更好的思路。^^_^^ !