Active-Directory

在嘗試查找 DC 進行身份驗證時,Windows 客戶端可能會向多少個域控制器發送 LDAP Ping?

  • September 9, 2022

我是一名網路安全研究員,研究 netflow 模式以了解利用 CLDAP 作為 UDP 反射向量的反射 DDoS 事件。我需要能夠使用 LDAP Ping 合法地區分 Windows 客戶端,以發現它應該使用哪個域控制器來驗證和反射攻擊流量。

我看到一個 IP 在 389/UDP(DC 上可用的反射向量)上接收來自數百甚至數千個服務的響應。據我了解,Windows 客戶端會將 LDAP Ping 命令發送到它通過 DNS 查找發現的 DC,以找出它應該使用哪個進行身份驗證。我的感覺是,在此過程中,沒有有效的 MS 網路設置會導致客戶端與數百或數千個 DC 通信。

有人可以讓我了解在此過程中客戶可能會接觸到的 DC 的典型數量嗎?或者,如果不是典型的,非異常?

此外,這是客戶會經常重複的事情嗎?我讀過這個過程發生在啟動時。這使它聽起來有點罕見。

非常高興被指向閱讀材料。

有人可以讓我了解在此過程中客戶可能會接觸到的 DC 的典型數量嗎?

沒有人能提供這個答案。這取決於許多因素,例如有多少、如何發布 DNS 記錄、客戶端是否在站點中、站點連結權重和優先級……。

請注意,當客戶端不在站點中時,測試任何和所有域控制器並使用任何域控制器進行身份驗證也是完全正常的。

DC Locator Process 已被廣泛記錄並易於測量。

https://social.technet.microsoft.com/wiki/contents/articles/24457.how-domain-controllers-are-located-in-windows.aspx

引用自:https://serverfault.com/questions/1110298