配置错误的Windows域服务器放大了DDoS攻击

位于两个不同大洲的两家企业能有什么共同之处？ 配置不正确的微软服务器，每秒喷出数千兆字节的垃圾数据包，对毫无戒心的服务和企业造成分布式拒绝服务攻击（DDOS）。 这些攻击会严重破坏一个企业的运行，或者在某些情况下，在没有适当保护的情况下使其瘫痪，而这往往不是一个小企业所能承受的。

根据黑莲花实验室最近发表的一份报告，超过12000台运行微软域控制器与活动目录的服务器经常被用来放大DDoS攻击。 多年来，这一直是一场攻击者和防御者的战斗，很多时候，攻击者所要做的就是获得对僵尸网络中不断增长的连接设备列表的控制，并利用它们进行攻击。 其中一个更常见的攻击方法被称为反射。 反射是指攻击者不是用数据包淹没一个设备，而是将攻击发送到第三方服务器。 利用第三方错误配置的服务器和欺骗数据包，使攻击看起来是来自目标的。 这些第三方服务器在不知情的情况下，最终将攻击反映在目标上，往往比开始时大十倍。

在过去的一年里，一个不断增长的攻击来源是无连接轻量级目录访问协议（CLDAP），它是标准轻量级目录访问协议（LDAP）的一个版本。CLDAP使用用户数据报协议数据包来验证用户，并在签署进入活动目录时发现服务。 黑莲花公司的研究员Chad Davis在最近的一封电子邮件中这样说。

"当这些域控制器没有暴露在开放的互联网上时（绝大多数的部署都是如此），这种UDP服务是无害的。但是在开放的互联网上，所有的UDP服务都容易受到反射的影响。"

攻击者自2007年以来一直在使用该协议来放大攻击。 当研究人员第一次发现CLDAP服务器中的错误配置时，数量达到了几万个。 一旦这个问题引起管理员的注意，这个数字就会大幅下降，尽管自2020年以来，这个数字又急剧上升，包括根据黑莲花实验室的数据，在过去一年中上升了近60%。

黑莲花为运行CLDAP的组织提供了以下建议：

网络管理员应考虑不要将CLDAP服务（389/UDP）暴露在开放的互联网上。

如果CLDAP服务暴露在开放的互联网上是绝对必要的，则需要努力确保系统的安全和防御。

在支持TCP LDAP服务上的LDAP ping的MS Server版本上，关闭UDP服务，通过TCP访问LDAP ping。

如果MS Server版本不支持TCP上的LDAP ping，请限制389/UDP服务产生的流量，以防止被用于DDoS。

如果MS服务器版本不支持TCP的LDAP ping，那么就用防火墙访问该端口，这样就只有合法客户可以到达该服务。

安全专业人员应实施一些措施来防止欺骗性的IP流量，如反向路径转发（RPF），可以是松散的，也可以是严格的，如果可行的话。

黑莲花公司已经通知并协助管理员，他们在Lumen公司提供的IP空间中发现了漏洞。

微软还没有对这些发现发表评论。