0x00 背景
突然发现某台服务器出现大量的流量攻击,峰值达到24.7G, 阿里云进行异常告警,以此为案例进行延伸思考学习。
0x01 CLDAP协议 Reflection DDoS攻击响应
1. 缺陷原理
轻量目录访问协议(LDAP)被定义在RFC2251(LDAPv3)中,由于LDAP是以TCP字节流的方式进行数据传输,其必要的绑定操作和频繁的数据搜索查询会在一定程度消耗较多的TCP连接资源,于是IETF在1995年发布了面向无连接的轻量目录访问协议(CLDAP),官方文档为RFC1798(2003年 RFC3352将CLDAP置为历史状态)。在CLDAP中只提供三种操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest,在不提供身份验证功能的情况下,客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。由于客户端发起searchRequest后服务端将返回searchResEntry和searchResDone两条应答消息,一般情况下执行该操作将具有较小数据包反射出较大数据包的效果,这一缺陷随即被利用进行反射放大DDoS攻击。
2.攻击原理
1、允许无连接的Windows AD 服务器存在以下问题:
A: Windows AD 服务器允许未经身份验证的客户端对服务器的配置状态、功能和扩展属性进行查询(也被称作“AD ping”);
B: 开放389 TCP/UDP到公网,允许任意来源IP访问。(存在这些缺陷的服务器,我们简称,允许无连接的Windows AD 服务器)
2、黑客冒用伪造(企业网站IP)利用CLDAP协议 Reflection 缺陷 向数量众多的无连接的Windows AD 服务器发起请求,进行searchResEntry查询,导致数量众多的无连接的Windows AD 服务器向企业网站IP 返回大量的searchResDone响应。
具体如下图所示:
3. 验证脚本
Exploit-DB上已经有安全研究者公开了Perl利用脚本;或者使用Nmap的ldap-rootdse脚本也可以对该缺陷进行扫描确认:
nmap -Pn -sSU 389,636 -- ldap-rootdse
0x02 CLDAP协议 Reflection DDoS流量分析
我们接收到告警,然后到服务器进行流量包捕获,
1、wireshark过滤:cldap contains root
2、CLDAP攻击效果图
如需攻击样本,请私信或者留言。
0x03 参考文档
https://www.freebuf.com/articles/network/181884.html
https://searchsecurity.techtarget.com.cn/11-24347/
欢迎大家分享更好的思路。^^_^^ !
