Este informe identifica hosts que tienen una instancia LDAP ejecutándose en el puerto 389/TCP a los que se puede acceder en Internet.
Estos hosts suelen ser servidores de Active Directory. Los datos revelados por el servidor podrían revelar grandes cantidades de información sobre la red en la que reside el servidor.
Es muy probable que los elementos del informe que no tienen respuestas LDAP rellenadas sean instancias de OpenLDAP, que utilizan un esquema diferente al de los servidores de Active Directory.
Este reporte no indica indicios de compromiso o ataques desde las IPs en cuestión, sino sólo representa la presencia de un equipo o servicio potencialmente vulnerable y/o expuesto.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_ldap_tcp
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | La dirección IP del dispositivo en cuestión. |
protocol | Protocolo en el que se produjo la respuesta (siempre TCP) |
port | Puerto del que provino la respuesta (389/TCP) |
hostname | Nombre DNS inverso del dispositivo en cuestión |
tag | Siempre será ldap-tcp |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad en la que reside el dispositivo en cuestión |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
size | El tamaño de la respuesta (sin encabezados) |
configuration_naming_context | Nombre distinguido de la raíz del contexto de nomenclatura de configuración del controlador de dominio |
current_time | La hora actual del sistema en el controlador de dominio |
default_naming_context | Nombre distinguido del contexto de nomenclatura predeterminado del controlador de dominio |
dns_host_name | Dirección DNS del controlador de dominio |
domain_controller_functionality | Entero que indica el nivel funcional del controlador de dominio |
domain_functionality | Número entero que indica el nivel funcional del dominio |
ds_service_name | Nombre distinguido del objeto nTDSDSA para el controlador de dominio |
forest_functionality | Número entero que indica el nivel funcional del bosque |
highest_committed_usn | El número de secuencia de actualización del controlador de dominio |
is_global_catalog_ready | Valor booleano que indica si este DC es un catálogo global que ha completado al menos una sincronización de sus datos de catálogo global con sus socios de replicación |
is_synchronized | Valor booleano que indica si el controlador de dominio completó al menos una sincronización con sus socios de replicación |
ldap_service_name | El nombre del servicio LDAP para el servidor LDAP en el controlador de dominio |
naming_contexts | Conjunto multivaluado de nombres distinguidos |
root_domain_naming_context | El nombre distinguido del contexto de nombres de dominio raíz |
schema_naming_context | El nombre distinguido de la raíz del contexto de nomenclatura del esquema |
server_name | El nombre distinguido del objeto del servidor. |
subschema_subentry | El nombre distinguido de la ubicación del objeto subSchema donde se definen las clases y los atributos en el directorio. |
supported_capabilities | Un conjunto multivaluado de OID que especifican las capacidades admitidas por el controlador de dominio |
supported_control | Un conjunto multivaluado de OID que especifica los controles LDAP admitidos por el controlador de dominio |
supported_ldap_policies | Un conjunto de cadenas de varios valores que especifican las políticas de consultas administrativas de LDAP admitidas por el controlador de dominio |
supported_ldap_version | Conjunto de enteros que especifican las versiones de LDAP compatibles con el controlador de dominio |
supported_sasl_mechanisms | Un conjunto de cadenas de varios valores que especifican los mecanismos de seguridad admitidos para la negociación SASL |
amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","size","configuration_naming_context","current_time","default_naming_context","dns_host_name","domain_controller_functionality","domain_functionality","ds_service_name","forest_functionality","highest_committed_usn","is_global_catalog_ready","is_synchronized","ldap_service_name","naming_contexts","root_domain_naming_context","schema_naming_context","server_name","subschema_subentry","supported_capabilities","supported_control","supported_ldap_policies","supported_ldap_version","supported_sasl_mechanisms","amplification"
"2010-02-10 00:00:00",192.168.0.1,tcp,389,node01.example.com,ldap-tcp,64512,ZZ,Region,City,0,0,0,"CN=Configuration,DC=ad,DC=example,DC=com",20220817155952.0Z,"DC=ad,DC=example,DC=com",node01.example.com,4,4,"CN=Configuration,DC=ad,DC=example,DC=com",4,1637632,TRUE,TRUE,node01.example.com,"DC=ad,DC=example,DC=com|CN=Configuration,DC=example,DC=com|CN=Schema,CN=Configuration,DC=example,DC=com","DC=example,DC=com","CN=Schema,CN=Configuration,DC=example,DC=com","CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=example,DC=com","CN=Aggregate,CN=Schema,CN=Configuration,DC=example,DC=com",1.2.840.113556.1.4.800|1.2.840.113556.1.4.1670|1.2.840.113556.1.4.1791|1.2.840.113556.1.4.1935|1.2.840.113556.1.4.2080,1.2.840.113556.1.4.319|1.2.840.113556.1.4.801|1.2.840.113556.1.4.473|1.2.840.113556.1.4.528|1.2.840.113556.1.4.417|1.2.840.113556.1.4.619|1.2.840.113556.1.4.841|1.2.840.113556.1.4.529|1.2.840.113556.1.4.805|1.2.840.113556.1.4.521|1.2.840.113556.1.4.970|1.2.840.113556.1.4.1338|1.2.840.113556.1.4.474|1.2.840.113556.1.4.1339|1.2.840.113556.1.4.1340|1.2.840.113556.1.4.1413|2.16.840.1.113730.3.4.9|2.16.840.1.113730.3.4.10|1.2.840.113556.1.4.1504|1.2.840.113556.1.4.1852|1.2.840.113556.1.4.802|1.2.840.113556.1.4.1907|1.2.840.113556.1.4.1948|1.2.840.113556.1.4.1974|1.2.840.113556.1.4.1341|1.2.840.113556.1.4.2026|1.2.840.113556.1.4.2064|1.2.840.113556.1.4.2065|1.2.840.113556.1.4.2066,MaxPoolThreads|MaxDatagramRecv|MaxReceiveBuffer|InitRecvTimeout|MaxConnections|MaxConnIdleTime|MaxPageSize|MaxQueryDuration|MaxTempTableSize|MaxResultSetSize|MinResultSets|MaxResultSetsPerConn|MaxNotificationPerConn|MaxValRange|ThreadMemoryLimit|SystemMemoryLimitPercent,3|2,GSSAPI|GSS-SPNEGO|EXTERNAL|DIGEST-MD5,
"2010-02-10 00:00:01",192.168.0.2,tcp,389,node02.example.com,ldap-tcp,64512,ZZ,Region,City,0,0,0,"CN=Configuration,DC=ad,DC=example,DC=com",20220817155952.0Z,"DC=ad,DC=example,DC=com",node02.example.com,,,"CN=Configuration,DC=ad,DC=example,DC=com",,,,,node02.example.com,"DC=ad,DC=example,DC=com|CN=Configuration,DC=example,DC=com|CN=Schema,CN=Configuration,DC=example,DC=com","DC=example,DC=com","CN=Schema,CN=Configuration,DC=example,DC=com","CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=example,DC=com","CN=Aggregate,CN=Schema,CN=Configuration,DC=example,DC=com",,1.2.840.113556.1.4.319|1.2.840.113556.1.4.801|1.2.840.113556.1.4.473|1.2.840.113556.1.4.528|1.2.840.113556.1.4.417|1.2.840.113556.1.4.619|1.2.840.113556.1.4.841|1.2.840.113556.1.4.529|1.2.840.113556.1.4.805|1.2.840.113556.1.4.521|1.2.840.113556.1.4.970|1.2.840.113556.1.4.1338|1.2.840.113556.1.4.474|1.2.840.113556.1.4.1339|1.2.840.113556.1.4.1340|1.2.840.113556.1.4.1413|2.16.840.1.113730.3.4.9|2.16.840.1.113730.3.4.10|1.2.840.113556.1.4.1504|1.2.840.113556.1.4.1852|1.2.840.113556.1.4.802|1.2.840.113556.1.4.1907|1.2.840.113556.1.4.1948|1.2.840.113556.1.4.1974|1.2.840.113556.1.4.1341|1.2.840.113556.1.4.2026|1.2.840.113556.1.4.2064|1.2.840.113556.1.4.2065|1.2.840.113556.1.4.2066|1.2.840.113556.,,,,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/open-ldap-tcp-report/