具体来说,LDAP 服务器如何区分包含来自经过身份验证的用户的 SearchRequestOp 的 TCP 数据包和包含来自未经身份验证的用户的 SearchRequestOp 的 TCP 数据包?
我了解 BindRequest 和 BindResponse 操作的工作原理,但我想知道的是服务器使用 TCP 数据包或 LDAP PDU 中的哪些内容来知道 SearchRequest 确实来自已成功执行 BindRequest 的客户端/通道?这是我可以在 Wireshark 捕获中看到的东西吗?
答案1
LDAP 是一种应用层协议,在 LDAP 层面进行的安全关联主要基于 TCP 或 TLS 连接。
服务器仅通过客户端 IP 地址/端口识别 TCP 连接,这并不安全。因此,您应该使用通过 TLS 加密的通道来防御主动 MITM 攻击。