反射放大DDOS攻击

Posted 2020-11-16 foe0

• CLDAP Reflection DDoS 

　　　　LDAP：

• • • 全称为Lightweight Directory Access Protocol，即轻量目录访问协议，基于X.500标准；
    • 目录服务就是按照树状存储信息的模式；
    • 支持TCP/IP；
    • 端口 389 (明文) / 636 (LDAP over SSL)

　　　　CLADP：面向无连接的LDAP，解决LDAP在数据传输时，绑定操作和数据搜索等频繁的操作对资源的消耗问题。

　　　　CLDAP的DDoS原理：

• • • CLDAP中只提供三种操作：searchRequest、searchResponse （searchResEntry和searchResDone）、abandonRequest；
    • 在不提供身份验证功能的情况下，客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。
    • 客户端发起searchRequest，服务端返回searchResEntry和searchResDone两条应答消息；该操作具有较小数据包反射出较大数据包的效果，这一缺陷可被利用进行反射放大DDoS攻击。

　　　　该数据包流量的特点：

 　　　　　　　　　　可以看到在这个数据流中，请求数据中有searchRequet ，且数据包也不是很大；返回包是请求包的14倍了，且有searchResEntry和searchResDone字样。除此流量特征外，还要结合总流量的速率和大小判断。