0x00 背景
突然發現某臺服務器出現大量的流量攻擊,峯值達到24.7G, 阿里雲進行異常告警,以此爲案例進行延伸思考學習。
0x01 CLDAP協議 Reflection DDoS攻擊響應
1. 缺陷原理
輕量目錄訪問協議(LDAP)被定義在RFC2251(LDAPv3)中,由於LDAP是以TCP字節流的方式進行數據傳輸,其必要的綁定操作和頻繁的數據搜索查詢會在一定程度消耗較多的TCP連接資源,於是IETF在1995年發佈了面向無連接的輕量目錄訪問協議(CLDAP),官方文檔爲RFC1798(2003年 RFC3352將CLDAP置爲歷史狀態)。在CLDAP中只提供三種操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest,在不提供身份驗證功能的情況下,客戶端可以使用UDP數據報對LDAP服務器389端口發起操作請求。由於客戶端發起searchRequest後服務端將返回searchResEntry和searchResDone兩條應答消息,一般情況下執行該操作將具有較小數據包反射出較大數據包的效果,這一缺陷隨即被利用進行反射放大DDoS攻擊。
2.攻擊原理
1、允許無連接的Windows AD 服務器存在以下問題:
A: Windows AD 服務器允許未經身份驗證的客戶端對服務器的配置狀態、功能和擴展屬性進行查詢(也被稱作“AD ping”);
B: 開放389 TCP/UDP到公網,允許任意來源IP訪問。(存在這些缺陷的服務器,我們簡稱,允許無連接的Windows AD 服務器)
2、黑客冒用僞造(企業網站IP)利用CLDAP協議 Reflection 缺陷 向數量衆多的無連接的Windows AD 服務器發起請求,進行searchResEntry查詢,導致數量衆多的無連接的Windows AD 服務器向企業網站IP 返回大量的searchResDone響應。
具體如下圖所示:
3. 驗證腳本
Exploit-DB上已經有安全研究者公開了Perl利用腳本;或者使用Nmap的ldap-rootdse腳本也可以對該缺陷進行掃描確認:
nmap -Pn -sSU 389,636 -- ldap-rootdse
0x02 CLDAP協議 Reflection DDoS流量分析
我們接收到告警,然後到服務器進行流量包捕獲,
1、wireshark過濾:cldap contains root
2、CLDAP攻擊效果圖
如需攻擊樣本,請私信或者留言。
0x03 參考文檔
https://www.freebuf.com/articles/network/181884.html
https://searchsecurity.techtarget.com.cn/11-24347/
歡迎大家分享更好的思路。^^_^^ !