配置错误的Windows域服务器放大了DDoS攻击

2022-11-15 14:31 科技

位于两个不同大洲的两家企业能有什么共同之处? 配置不正确的微软服务器,每秒喷出数千兆字节的垃圾数据包,对毫无戒心的服务和企业造成分布式拒绝服务攻击(DDOS)。 这些攻击会严重破坏一个企业的运行,或者在某些情况下,在没有适当保护的情况下使其瘫痪,而这往往不是一个小企业所能承受的。

根据黑莲花实验室最近发表的一份报告,超过12000台运行微软域控制器与活动目录的服务器经常被用来放大DDoS攻击。 多年来,这一直是一场攻击者和防御者的战斗,很多时候,攻击者所要做的就是获得对僵尸网络中不断增长的连接设备列表的控制,并利用它们进行攻击。 其中一个更常见的攻击方法被称为反射。 反射是指攻击者不是用数据包淹没一个设备,而是将攻击发送到第三方服务器。 利用第三方错误配置的服务器和欺骗数据包,使攻击看起来是来自目标的。 这些第三方服务器在不知情的情况下,最终将攻击反映在目标上,往往比开始时大十倍。

在过去的一年里,一个不断增长的攻击来源是无连接轻量级目录访问协议(CLDAP),它是标准轻量级目录访问协议(LDAP)的一个版本。CLDAP使用用户数据报协议数据包来验证用户,并在签署进入活动目录时发现服务。 黑莲花公司的研究员Chad Davis在最近的一封电子邮件中这样说。

当这些域控制器没有暴露在开放的互联网上时(绝大多数的部署都是如此),这种UDP服务是无害的。但是在开放的互联网上,所有的UDP服务都容易受到反射的影响。

攻击者自2007年以来一直在使用该协议来放大攻击。 当研究人员第一次发现CLDAP服务器中的错误配置时,数量达到了几万个。 一旦这个问题引起管理员的注意,这个数字就会大幅下降,尽管自2020年以来,这个数字又急剧上升,包括根据黑莲花实验室的数据,在过去一年中上升了近60%。

黑莲花为运行CLDAP的组织提供了以下建议:

网络管理员应考虑不要将CLDAP服务(389/UDP)暴露在开放的互联网上。

如果CLDAP服务暴露在开放的互联网上是绝对必要的,则需要努力确保系统的安全和防御。

在支持TCP LDAP服务上的LDAP ping的MS Server版本上,关闭UDP服务,通过TCP访问LDAP ping。

如果MS Server版本不支持TCP上的LDAP ping,请限制389/UDP服务产生的流量,以防止被用于DDoS。

如果MS服务器版本不支持TCP的LDAP ping,那么就用防火墙访问该端口,这样就只有合法客户可以到达该服务。

安全专业人员应实施一些措施来防止欺骗性的IP流量,如反向路径转发(RPF),可以是松散的,也可以是严格的,如果可行的话。

黑莲花公司已经通知并协助管理员,他们在Lumen公司提供的IP空间中发现了漏洞。

微软还没有对这些发现发表评论。

点赞

全部评论

相关阅读

windows未成功关闭怎么解决黑屏

将照片和视频从手机导入Mac时如何解决ImageCaptureCore错误9937

追女生的错误方法,挽回慎用

服务器连接失败是什么意思?发邮件服务器连接失败是什么意思

分手后感情挽回的错误方法 这些方法千万不要试

windows.old删了的后果

西摩·赫什:拜登“犯了一个巨大的错误”

3个月内人流不算杀生 这个说法错误 你知道吗

发票勾选平台证书错误怎么改

Dhcp服务器是什么

苹果手机查找功能无法连接服务器

微信无法连接到服务器是怎么回事

打胎三个月前无婴灵是错误的说法 但凡打胎都要

三大挽回婚姻禁忌 帮你避开一些错误

魔兽世界服务器最新人口普查

关于荨麻疹说法错误的是,关于荨麻疹的治疗

什么是ssl?什么是ssL错误

完美国际寻宝天行签名错误

风水大师详解“不聚财”房子布置 这些错误每个

远程电脑服务器出租 什么意思?远程电脑服务设置