方法 / Amplification / CLDAP
AmplificationAmplificationReflectionUDPSpoofable

CLDAP 压力测试

使用 CLDAP 反射向你的目标投掷放大的 UDP 响应,验证清洗能否吸收放大率最高的向量之一。

工作原理

CLDAP 运行在 UDP 上,向暴露的无连接 LDAP 服务发送一个小查询会返回一个大得多的响应。通过将这些响应反射至目标,本方法以数十倍的放大系数交付高带宽洪水,因此适度的请求量就能产生沉重的入站流量。它测试你的边缘和上游清洗能否在来自端口 389 的大量反射 UDP 饱和你的链路之前将其吸收。

参数

rate600k pps驱动目标处入站带宽的反射响应速率。
duration30-300 s用于测量链路饱和与恢复的运行时长。
portvictim UDP port目标处接收反射流量的目标端口。
reflectorslist size塑造放大后总流量的反射源池。

从 CLI 运行它

retro-cli
$ retro run cldap --target 203.0.113.45 --duration 120

CLDAP 常见问题

为什么 CLDAP 是如此强力的放大向量?+
一个微小的 CLDAP 查询能触发一个比它大许多倍的响应,放大系数通常被引述为数十倍。这使得少量的伪造请求流量就能产生针对目标的大规模洪水。
这个方法实际验证什么?+
它确认你的上游清洗和链路容量能否吸收高带宽的反射 UDP 洪水而不使源站失联,以及边缘规则是否丢弃来自端口 389 的非请求响应。
我该如何避免成为问题的一部分?+
让 LDAP 和 CLDAP 服务远离公网,并应用入站过滤,使伪造数据包无法离开你的网络,也无法将你的主机征用为反射器。