none
Windows Server 2019よりUDPポート389を通じて大量のOUT出力があり止めたい RRS feed

  • 質問

  • Windows Server 2019よりUDPポート389を通じてインターネットに対し大量のOUT出力があるため、ルーターの負荷が上がり困っています。
    対処法をご存じの方よろしくお願いします。

    Windows ServerからLANケーブルを抜いたところルーターの負荷が下がったので、これしかないと考えています。

    Windows FirewallでUDPポート389の出力をブロックしてみましたが、無視しており改善しませんした。

    以上よろしくお願いいたします。


    ※フォーラムのカテゴリに適したものがなかったので、やむ負えずSQL Serverを選びましたが、SQL Serverは使用していません。
     ご容赦ください。



    • 編集済み rekoaru 2021年7月27日 9:38
    2021年7月27日 9:28

回答

  • チャブーンです。

    この件ですが、他の方からの指摘通り「LDAPリフレクション攻撃」の影響だと思います。

    この攻撃は、ドメインコントローラーの「既定の動作仕様」を悪用して、外部から悪意のあるCLDAPクエリを投げてくることで発生します。
    ドメインコントローラーへのウイルスといったたぐいでないため、ドメインコントローラー自体でこの機能を停止させることでは対応できません。

    対応の要諦としては、「外部から悪意のあるCLDAPクエリ」をWindows Firawallで遮断するしかありません。問題の詳しい説明は、以下がよいでしょう。

    https://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=15
    https://www.npa.go.jp/cyberpolice/important/2016/19552.html


    対応の方法ですが、ドメインコントローラーのWindows Firewallの受信の規則で、以下の規則を探して、開きます。

    Active Directory ドメイン コントローラー - LDAP (UDP 受信)

    そのあと[スコープ]タブを開き、リモートIPアドレス欄の「これらのIPアドレス」に社内のネットワークIP帯を入力します。
    CIDR形式で入力できますので、ひとつひとつのIPアドレスを入れる必要はありません。

    こうすることで、社内のマシンからしかCLDAPクエリを受け付けないよう設定ができます。いったんドメインコントローラは再起動した方がよいでしょう。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2021年7月28日 2:20

すべての返信

  • 本件について、lsass.exeの動きが怪しいと思っています。
    そこで強制終了しようとしましたが、できませんでした。

    よろしくお願いいたします。

    lsass.exeの送信料が桁違い

    2021年7月27日 9:36
  • rekoaru様

    Nerottiと申します。

    本件、マルウェアということはないのでしょうか?

    lsass.exeはWindowsのコアプログラムですが、

    lsass.exeになりすますマルウェアが存在するようです。

    一度ご確認いただいた方がいいのかなと、思います。

    宜しくお願い致します。

    2021年7月28日 0:35
  • 以下と類似の現象が発生している可能性が疑われます。外部に開いている UDP 389 ポートを閉じることが対策になるようです。


    Lsass.exe sending excessive data outside the local network
    https://social.technet.microsoft.com/Forums/en-US/b8491f84-4b43-4841-b387-3a54a0b9b550/lsassexe-sending-excessive-data-outside-the-local-network?forum=winserverDS

    Hi. I had the same problem on a Windows server 2012. Finally I could detect that it was a DDOS attack based on the vulnerability of CLDAP protocol, port 389 UDP open in the public interface.

    Closed in the firewall and problem solved. 

    More information here: https://www.akamai.com/us/en/about/our-thinking/threat-advisories/connection-less-lightweight-directory-access-protocol-reflection-ddos-threat-advisory.jsp

    2021年7月28日 1:27
  • チャブーンです。

    この件ですが、他の方からの指摘通り「LDAPリフレクション攻撃」の影響だと思います。

    この攻撃は、ドメインコントローラーの「既定の動作仕様」を悪用して、外部から悪意のあるCLDAPクエリを投げてくることで発生します。
    ドメインコントローラーへのウイルスといったたぐいでないため、ドメインコントローラー自体でこの機能を停止させることでは対応できません。

    対応の要諦としては、「外部から悪意のあるCLDAPクエリ」をWindows Firawallで遮断するしかありません。問題の詳しい説明は、以下がよいでしょう。

    https://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=15
    https://www.npa.go.jp/cyberpolice/important/2016/19552.html


    対応の方法ですが、ドメインコントローラーのWindows Firewallの受信の規則で、以下の規則を探して、開きます。

    Active Directory ドメイン コントローラー - LDAP (UDP 受信)

    そのあと[スコープ]タブを開き、リモートIPアドレス欄の「これらのIPアドレス」に社内のネットワークIP帯を入力します。
    CIDR形式で入力できますので、ひとつひとつのIPアドレスを入れる必要はありません。

    こうすることで、社内のマシンからしかCLDAPクエリを受け付けないよう設定ができます。いったんドメインコントローラは再起動した方がよいでしょう。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2021年7月28日 2:20
  • チャブーンさんありがとうございました
    ご指摘の方法を適応したところ、そもそもの問題であったルーター負荷が下がりました!
    2021年7月28日 6:12
  • Nerottiさんご返答ありがとうございます。

    ESETを使ってチェックしてもマルウェア反応はなかったので、今回はチャブーンさんの方法で対応しました。

    2021年7月28日 6:14
  • NOBTA-MVP さんご返答ありがとうございます。

    今回は具体的手順が記載されていたチャブーンさんの方法で対応しました。

    2021年7月28日 6:15