配置不当的Microsoft服务器被用于 DDoS 攻击

• Lumen 的研究机构 Black Lotus Labs 发布了有关用于DDoS攻击的 CLDAP 反射器的研究。
• 根据研究，有许多配置错误的 Microsoft 服务器被黑客滥用，用作 CLDAP 反射器。
• 他们在研究期间注意到的其中一个样本在今年 7 月至 9 月期间仅提供了超过 10 Gbps 的垃圾流量。

---

网络和应用技术公司Lumen的研究机构Black Lotus Labs发布了关于DDoS 攻击中使用的CLDAP（无连接轻量级目录访问协议）反射器的新研究。根据研究，目前有超过 12,000 台错误配置的Microsoft服务器允许 CLDAP 反射。那些配置错误的 Microsoft 服务器正被用于放大 DDoS 攻击。

峰值高达 17 Gbps 的垃圾流量

配置不佳的服务器属于许多不同的组织，包括宗教组织。一个特定的样本，北美的一个宗教组织，已被 DDoS 攻击者滥用了 18 个月；在 2022 年 7 月至 2022 年 8 月期间，它达到了 2 Gbps 的峰值。另一个宗教组织在 7 月至 9 月期间也达到了 17 Gbps 的峰值，平均吞吐量为 10 Gbps。研究人员表示，这种垃圾流量的强度足以仅对一些管理不善的服务器进行 DoS。 

根据 Black Lotus Labs 的说法，CLDAP 反射器的带宽放大系数 (BAF) 为 56 到 70 倍，它们可以可靠地增加 DDoS 攻击的流量。虽然该公司希望鼓励社区报告 CLDAP 反射器，但他们还建议网络管理员考虑不要将 CLDAP 服务 (389/UDP) 暴露给开放的互联网。但是，如果确实有必要，您应该根据您的系统应用以下选项之一：

• 在支持 TCP LDAP 服务上的 LDAP ping 的 MS Server 版本上，关闭 UDP 服务并通过 TCP 访问 LDAP ping。
• 如果 MS Server 版本不支持 TCP 上的 LDAP ping，请对 389/UDP 服务生成的流量进行速率限制，以防止在 DDoS 中使用。
• 如果 MS Server 版本不支持 TCP 上的 LDAP ping，请防火墙访问端口，以便只有您的合法客户端才能访问该服务。

对于网络防御者，Black Lotus Labs 建议实施一些措施来防止欺骗性 IP 流量，例如反向路径转发 (RPF)，无论是松散的还是在可行的情况下严格的。