Злоумышленники могут использовать протокол LDAP для усиления DDoS-атак. Такие атаки запрашивают у серверов LDAP объёмные результаты, используя поддельный адрес источника. Подобный запрос приводит к тому, что ответ возвращается на подменённый адрес. Это означает отправку большого количества данных на компьютер, который их не запрашивал. Такой эффект, применённый к тысячам серверов LDAP, направляет очень большой объём трафика на атакуемый IP-адрес и формирует эффективную распределённую атаку.
Большинство LDAP-серверов и клиентов используют протокол TCP, который предотвращает подобное усиление из-за квитирования соединения, которое проверяет, могут ли источник и место назначения связываться друг с другом. UDP же не выполняет эту проверку, поэтому сервер LDAP можно убедить отправить трафик в непроверенный пункт назначения.
Самый простой способ решить эту проблему — включить брандмауэр на вашем сервере, который заблокирует доступ к LDAP-порту 389 через UDP. LDAP чаще всего используется на серверах Windows, на которых работают службы Active Directory. Если у вас есть программа, которая использует LDAP через UDP с другого сервера, добавьте исключение в брандмауэр, чтобы это приложение продолжало работать, или внесите изменения в самом приложение для использования LDAP через TCP. LDAP также может работать с шифрованием (LDAPS) через 636 порт, но этот протокол поддерживает только TCP.
Для отключения доступа к LDAP через UDP:
- Щёлкните правой кнопкой мыши «Пуск» (Start), затем щёлкните «Выполнить» (Run) и введите
wf.msc, нажмите ОК. - Щёлкните параметр «Правила для входящих подключений» (Inbound Rules) в левой части окна.
- Найдите правило под названием «Контроллер домена Active Directory - LDAP (входящий UDP)» (Active Directory Domain Controller - LDAP (UDP-In)).
- Щёлкните правой кнопкой мыши на правило и выберите «Отключить правило».
Для разрешения доступа к LDAP с других ваших серверов:
- Щёлкните правой кнопкой мыши «Пуск» (Start), затем щёлкните «Выполнить» (Run) и введите
wf.msc, нажмите ОК. - Щёлкните параметр «Правила для входящих подключений» (Inbound Rules) в левой части окна.
- Найдите правило под названием «Контроллер домена Active Directory - LDAP (входящий UDP)» (Active Directory Domain Controller - LDAP (UDP-In)).
- Щелкните правой кнопкой мыши правило и выберите «Свойства».
- Перейдите на вкладку «Область действия».
- В разделе «Удалённый IP-адрес» (Remote IP address) выберите вариант «Эти IP-адреса:» (These IP addresses:)
- Для каждого IP-адреса или диапазона, которым должен быть гарантирован доступ, нажмите «Добавить...» (Add…) и введите точные диапазоны.
- После того, как вы ввели все диапазоны, которым должен быть гарантирован доступ, нажмите ОК, чтобы сохранить правило.
Для отключения доступа к LDAP через TCP или службу Secure LDAP:
Выполните описанные выше действия для следующих служб:
- «Контроллер домена Active Directory - LDAP (входящий TCP)» (Active Directory Domain Controller - LDAP (TCP-In))
- «Контроллер домена Active Directory - безопасный LDAP (входящий TCP)» (Active Directory Domain Controller - Secure LDAP (TCP-In))
Если вы используете LDAP-сервер на Linux, вам следует изменить конфигурацию сервера в соответствии с его документацией, чтобы отключить или ограничить LDAP через UDP, или соответствующим образом настроить брандмауэр вашей системы.
Чтобы получить консультацию о том, как настроить сервер, чтобы предотвратить злоупотребление LDAP или ограничить диапазоны IP-адресов, которые могут выполнять LDAP-запросы, или задать любые другие вопросы по темам, обсуждаемым в этой статье, подайте обращение через тикет-систему или напишите нам на support@atlex.ru. Конфигурирование LDAP на серверах также осуществляется в рамках услуги системного администрирования.