据Black Lotus Labs称,超过12,000台运行带有Active Directory(AD)的Microsoft域控制器的Windows服务器已被用于DDoS攻击。
攻击的最大来源之一是无连接轻量级目录访问协议(CLDAP)。它利用用户数据报协议数据包来验证用户登录活动目录。
由于Windows Server一直在发送大量数据包,因此威胁参与者已经能够开发攻击。
黑莲花的研究员查德·戴维斯(Chad Davis)说:
“当这些域控制器没有暴露在开放的互联网上时(对于绝大多数部署都是如此),这种UDP服务是无害的。但在开放的互联网上,所有UDP服务都容易受到反射。
管理
值得注意的是,CLDAP并不是一个新协议,因为它自2007年以来一直存在,并从那时起被用作攻击指标。
Black Lotus 为运行 CLDAP 的组织提供以下建议:
- “网络管理员:考虑不向开放的互联网公开CLDAP服务(389/UDP)。
- 如果绝对有必要将 CLDAP 服务暴露在开放的互联网上,请努力保护和保护系统:
- 在 TCP LDAP 服务上支持 LDAP ping 的 MS Server 版本上,请关闭 UDP 服务并通过 TCP 访问 LDAP ping。
- 如果 MS Server 版本不支持 TCP 上的 LDAP ping,请限制 389/UDP 服务生成的流量的速率,以防止在 DDoS 中使用。
- 如果 MS 服务器版本不支持 TCP 上的 LDAP ping,则防火墙访问端口,以便只有合法客户端才能访问该服务。
- 如果绝对有必要将 CLDAP 服务暴露在开放的互联网上,请努力保护和保护系统:
- 网络防御者:实施一些措施来防止欺骗性 IP 流量,例如反向路径转发 (RPF),可以是松散的,也可以是严格的。为了获得更多指导,MANRS计划深入讨论了反欺骗指南和实际应用。
正文完
