Методы / Amplification / CLDAP
AmplificationAmplificationReflectionUDPSpoofable
CLDAP стресс-тест
Использует отражение CLDAP, чтобы обрушить на вашу цель усиленные UDP-ответы и подтвердить, что очистка трафика поглощает один из векторов усиления с наивысшим коэффициентом.
Как это работает
CLDAP работает поверх UDP, и небольшой запрос к открытой службе Connectionless LDAP возвращает гораздо больший ответ. Отражая эти ответы в сторону цели, метод доставляет флуд высокой пропускной способности с коэффициентом усиления в десятки раз, поэтому скромный объём запросов порождает тяжёлый входящий трафик. Он проверяет, способны ли ваш периметр и вышестоящая очистка трафика впитать большие отражённые объёмы UDP с порта 389 до того, как они насытят ваш канал.
Параметры
rate600k ppsСкорость отражённых ответов, определяющая входящую полосу на цели.
duration30-300 sДлительность прогона для измерения насыщения канала и восстановления.
portvictim UDP portПорт назначения на цели, принимающий отражённый трафик.
reflectorslist sizeПул источников отражения, формирующий общий усиленный объём.
Запустите из CLI
retro-cli
$ retro run cldap --target 203.0.113.45 --duration 120
FAQ по CLDAP
Почему CLDAP такой сильный вектор усиления?+
Крошечный CLDAP-запрос способен вызвать ответ, многократно превышающий его по размеру, что даёт коэффициент усиления, который обычно оценивают в десятки раз. Это позволяет небольшому объёму запросов с подменённым источником породить крупный флуд, направленный на цель.
Что именно проверяет этот метод?+
Он подтверждает, способны ли ваша вышестоящая очистка трафика и ёмкость канала поглотить отражённый UDP-флуд высокой пропускной способности без отключения источника, и отбрасывают ли правила периметра незапрошенные ответы с порта 389.
Как мне перестать быть частью проблемы?+
Держите службы LDAP и CLDAP вне публичного интернета и применяйте входную фильтрацию, чтобы пакеты с подменённым источником не покидали вашу сеть и не вербовали ваши хосты в качестве отражателей.