DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析

0x00 背景

      突然发现某台服务器出现大量的流量攻击,峰值达到24.7G, 阿里云进行异常告警,以此为案例进行延伸思考学习。

DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析_第1张图片

 

0x01 CLDAP协议 Reflection DDoS攻击响应

1. 缺陷原理

    轻量目录访问协议(LDAP)被定义在RFC2251(LDAPv3)中,由于LDAP是以TCP字节流的方式进行数据传输,其必要的绑定操作和频繁的数据搜索查询会在一定程度消耗较多的TCP连接资源,于是IETF在1995年发布了面向无连接的轻量目录访问协议(CLDAP),官方文档为RFC1798(2003年 RFC3352将CLDAP置为历史状态)。在CLDAP中只提供三种操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest,在不提供身份验证功能的情况下,客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。由于客户端发起searchRequest后服务端将返回searchResEntry和searchResDone两条应答消息,一般情况下执行该操作将具有较小数据包反射出较大数据包的效果,这一缺陷随即被利用进行反射放大DDoS攻击。

2.攻击原理

  1、允许无连接的Windows AD 服务器存在以下问题:

A: Windows AD 服务器允许未经身份验证的客户端对服务器的配置状态、功能和扩展属性进行查询(也被称作“AD ping”);

B: 开放389 TCP/UDP到公网,允许任意来源IP访问。(存在这些缺陷的服务器,我们简称,允许无连接的Windows AD 服务器)

2、黑客冒用伪造(企业网站IP)利用CLDAP协议 Reflection 缺陷 向数量众多的无连接的Windows AD 服务器发起请求,进行searchResEntry查询,导致数量众多的无连接的Windows AD 服务器向企业网站IP 返回大量的searchResDone响应。

具体如下图所示:

DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析_第2张图片

3. 验证脚本

Exploit-DB上已经有安全研究者公开了Perl利用脚本;或者使用Nmap的ldap-rootdse脚本也可以对该缺陷进行扫描确认:

nmap -Pn -sSU 389,636 -- ldap-rootdse

DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析_第3张图片

0x02 CLDAP协议 Reflection DDoS流量分析

我们接收到告警,然后到服务器进行流量包捕获,

1、wireshark过滤:cldap contains root

2、CLDAP攻击效果图

DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析_第4张图片

 

DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析_第5张图片

DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析_第6张图片

如需攻击样本,请私信或者留言。

0x03 参考文档

https://www.freebuf.com/articles/network/181884.html

https://searchsecurity.techtarget.com.cn/11-24347/

 

欢迎大家分享更好的思路。^^_^^ !

你可能感兴趣的:(网络安全分析,安全技术)