我是一名网络安全研究员,正在研究 netflow 模式,以了解利用 CLDAP 作为 UDP 反射向量的反射 DDoS 事件。我需要能够区分合法使用 LDAP Ping 来发现应使用哪个域控制器进行身份验证的 Windows 客户端和反射的攻击流量。
我看到类似这样的情况:一个 IP 会从 389/UDP(DC 上可用的反射向量)上的数百个(有时是数千个)服务接收响应。据我了解,Windows 客户端会将 LDAP Ping 命令发送到它通过 DNS 查找发现的 DC,以找出应该使用哪一个进行身份验证。我的感觉是,在此过程中,没有有效的 MS 网络设置会导致客户端与数百或数千个 DC 通信。
有人能告诉我客户在此过程中通常需要联系多少个 DC 吗?或者,如果不是典型的,那么也是非异常的?
此外,这是客户经常重复的事情吗?我读到过这个过程发生在启动时。这听起来有点罕见。
非常高兴能得到阅读材料的指导。
答案1
有人能告诉我在这个过程中客户通常需要联系多少个 DC 吗?
没有人能给出这个答案。这取决于许多因素,例如有多少个站点、DNS 记录如何发布、客户端是否在站点中、站点链接权重和优先级等。
请注意,当客户不在现场时,进行测试也是完全正常的任何和所有域控制器,并使用任何域控制器进行身份验证。
DC 定位器流程有详尽的记录并且易于测量。