反射放大DDOS攻击

Posted foe0

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了反射放大DDOS攻击相关的知识,希望对你有一定的参考价值。

  • CLDAP Reflection DDoS 

    LDAP:

      • 全称为Lightweight Directory Access Protocol,即轻量目录访问协议,基于X.500标准;
      • 目录服务就是按照树状存储信息的模式;
      • 支持TCP/IP;
      • 端口 389 (明文) / 636 (LDAP over SSL)

    CLADP:面向无连接的LDAP,解决LDAP在数据传输时,绑定操作和数据搜索等频繁的操作对资源的消耗问题。

    CLDAP的DDoS原理:

      • CLDAP中只提供三种操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest;
      • 在不提供身份验证功能的情况下,客户端可以使用UDP数据报对LDAP服务器389端口发起操作请求。
      • 客户端发起searchRequest,服务端返回searchResEntry和searchResDone两条应答消息;该操作具有较小数据包反射出较大数据包的效果,这一缺陷可被利用进行反射放大DDoS攻击。

    该数据包流量的特点:

技术图片

           可以看到在这个数据流中,请求数据中有searchRequet ,且数据包也不是很大;返回包是请求包的14倍了,且有searchResEntry和searchResDone字样。除此流量特征外,还要结合总流量的速率和大小判断。

以上是关于反射放大DDOS攻击的主要内容,如果未能解决你的问题,请参考以下文章

记一次ntp反射放大ddos攻击

警惕新型利用中间盒的TCP反射放大的DDOS攻击

基于UDP的DDos反射放大攻击

《浅析各类DDoS攻击放大技术》

腾讯云安全团队支招:放大比超过5万倍的 Memcached DDoS 攻击如何防御

1.7 Tbps!Memcached DDoS攻击峰值再次刷新!