Как предотвратить усиление DDoS-атак через LDAP-протокол

Злоумышленники могут использовать протокол LDAP для усиления DDoS-атак. Такие атаки запрашивают у серверов LDAP объёмные результаты, используя поддельный адрес источника. Подобный запрос приводит к тому, что ответ возвращается на подменённый адрес. Это означает отправку большого количества данных на компьютер, который их не запрашивал. Такой эффект, применённый к тысячам серверов LDAP, направляет очень большой объём трафика на атакуемый IP-адрес и формирует эффективную распределённую атаку.

Большинство LDAP-серверов и клиентов используют протокол TCP, который предотвращает подобное усиление из-за квитирования соединения, которое проверяет, могут ли источник и место назначения связываться друг с другом. UDP же не выполняет эту проверку, поэтому сервер LDAP можно убедить отправить трафик в непроверенный пункт назначения.

Самый простой способ решить эту проблему — включить брандмауэр на вашем сервере, который заблокирует доступ к LDAP-порту 389 через UDP. LDAP чаще всего используется на серверах Windows, на которых работают службы Active Directory. Если у вас есть программа, которая использует LDAP через UDP с другого сервера, добавьте исключение в брандмауэр, чтобы это приложение продолжало работать, или внесите изменения в самом приложение для использования LDAP через TCP. LDAP также может работать с шифрованием (LDAPS) через 636 порт, но этот протокол поддерживает только TCP.

Для отключения доступа к LDAP через UDP:

  1. Щёлкните правой кнопкой мыши «Пуск» (Start), затем щёлкните «Выполнить» (Run) и введите wf.msc, нажмите ОК.
  2. Щёлкните параметр «Правила для входящих подключений» (Inbound Rules) в левой части окна.
  3. Найдите правило под названием «Контроллер домена Active Directory - LDAP (входящий UDP)» (Active Directory Domain Controller - LDAP (UDP-In)).
  4. Щёлкните правой кнопкой мыши на правило и выберите «Отключить правило».

Для разрешения доступа к LDAP с других ваших серверов:

  1. Щёлкните правой кнопкой мыши «Пуск» (Start), затем щёлкните «Выполнить» (Run) и введите wf.msc, нажмите ОК.
  2. Щёлкните параметр «Правила для входящих подключений» (Inbound Rules) в левой части окна.
  3. Найдите правило под названием «Контроллер домена Active Directory - LDAP (входящий UDP)» (Active Directory Domain Controller - LDAP (UDP-In)).
  4. Щелкните правой кнопкой мыши правило и выберите «Свойства».
  5. Перейдите на вкладку «Область действия».
  6. В разделе «Удалённый IP-адрес» (Remote IP address) выберите вариант «Эти IP-адреса:» (These IP addresses:)
  7. Для каждого IP-адреса или диапазона, которым должен быть гарантирован доступ, нажмите «Добавить...» (Add…) и введите точные диапазоны.
  8. После того, как вы ввели все диапазоны, которым должен быть гарантирован доступ, нажмите ОК, чтобы сохранить правило.

Для отключения доступа к LDAP через TCP или службу Secure LDAP:

Выполните описанные выше действия для следующих служб:

  • «Контроллер домена Active Directory - LDAP (входящий TCP)» (Active Directory Domain Controller - LDAP (TCP-In))
  • «Контроллер домена Active Directory - безопасный LDAP (входящий TCP)» (Active Directory Domain Controller - Secure LDAP (TCP-In))

Если вы используете LDAP-сервер на Linux, вам следует изменить конфигурацию сервера в соответствии с его документацией, чтобы отключить или ограничить LDAP через UDP, или соответствующим образом настроить брандмауэр вашей системы.

Чтобы получить консультацию о том, как настроить сервер, чтобы предотвратить злоупотребление LDAP или ограничить диапазоны IP-адресов, которые могут выполнять LDAP-запросы, или задать любые другие вопросы по темам, обсуждаемым в этой статье, подайте обращение через тикет-систему или напишите нам на support@atlex.ru. Конфигурирование LDAP на серверах также осуществляется в рамках услуги системного администрирования.

Для реализации основных услуг и функций нашего сайта, а также для сбора данных о том, как посетители взаимодействуют с нашими сайтом, продуктами и услугами, мы применяем различные инструменты, включая файлы cookie. Нажимая «Принять», вы соглашаетесь с текущими правилами и условиями использования сайта и даете разрешение на использование этих данных. В противном случае, пожалуйста, покиньте сайт.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: