Я исследователь кибербезопасности, изучаю шаблоны сетевого потока, чтобы узнать об отраженных событиях DDoS, которые используют CLDAP в качестве вектора отражения UDP. Мне нужно уметь отличать клиент Windows, законно использующий LDAP Ping, чтобы определить, какой контроллер домена он должен использовать для аутентификации, И отраженный трафик атаки.
Я вижу такие вещи, как один IP-адрес, получающий ответы от сотен, а иногда и тысяч сервисов на 389/UDP (вектор отражения, доступный на DC). Насколько я понимаю, клиент Windows отправит команду LDAP Ping на контроллер домена, которую он обнаружил с помощью поиска DNS, чтобы узнать, какой из них следует использовать для аутентификации. Я считаю, что ни одна допустимая сетевая настройка MS не заставит клиента разговаривать с сотнями или тысячами контроллеров домена во время этого процесса.
Может ли кто-нибудь дать мне некоторое представление о типичном количестве контроллеров домена, к которым может обратиться клиент во время этого процесса? или, если не типичный, неаномальный?
Кроме того, это то, что клиент будет повторять очень часто? Я читал, что этот процесс происходит при запуске. Это звучит так, будто это какая-то редкость.
Более чем счастлив, что мне указали на материалы для чтения.
ldap-контроллер-домена-сетевой-безопасности
Чад
1 ответ
Может ли кто-нибудь дать мне некоторое представление о типичном количестве контроллеров домена, к которым может обратиться клиент во время этого процесса?
Никто не может дать этот ответ. Это зависит от множества факторов, таких как их количество, способ публикации DNS-записей, наличие клиента на сайте, веса и приоритеты ссылок сайта и т. д.
Обратите внимание, что когда клиент не находится на сайте, также совершенно нормально проверять каждый и все контроллеры домена и использовать Любые контроллер домена для проверки подлинности.
Процесс DC Locator тщательно задокументирован и легко измеряется.
Грег Аскью