Este informe identifica hosts que tienen una instancia LDAP ejecutándose en el puerto 389/UDP a los que se puede acceder en Internet.
LDAP define un servicio de red con arquitectura cliente-servidor, para atender consultas y peticiones sobre las entidades que están inscritas en una red, como usuarios, impresoras, carpetas compartidas, equipo o servicios.
Estos hosts suelen ser servidores de Active Directory. Además de permitir un vector de amplificación de ~60x, los datos revelados por el servidor podrían revelar grandes cantidades de información sobre la red en la que reside el servidor.
Este reporte no indica indicios de compromiso o ataques desde las IPs en cuestión, sino sólo representa la presencia de un equipo o servicio potencialmente vulnerable y/o expuesto.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_ldap_udp
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | La dirección IP del dispositivo en cuestión. |
| protocol | Protocolo en el que se produjo la respuesta (siempre UDP) |
| port | Puerto del que provino la respuesta (389/UDP) |
| hostname | Nombre DNS inverso del dispositivo en cuestión |
| tag | Siempre será ldap-udp |
| asn | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad en la que reside el dispositivo en cuestión |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| size | El tamaño de la respuesta (sin encabezados UDP) |
| configuration_naming_context | Nombre distinguido de la raíz del contexto de nomenclatura de configuración del controlador de dominio |
| current_time | La hora actual del sistema en el controlador de dominio |
| default_naming_context | Nombre distinguido del contexto de nomenclatura predeterminado del controlador de dominio |
| dns_host_name | Dirección DNS del controlador de dominio |
| domain_controller_functionality | Entero que indica el nivel funcional del controlador de dominio |
| domain_functionality | Número entero que indica el nivel funcional del dominio |
| ds_service_name | Nombre distinguido del objeto nTDSDSA para el controlador de dominio |
| forest_functionality | Número entero que indica el nivel funcional del bosque |
| highest_committed_usn | El número de secuencia de actualización del controlador de dominio |
| is_global_catalog_ready | Valor booleano que indica si este DC es un catálogo global que ha completado al menos una sincronización de sus datos de catálogo global con sus socios de replicación |
| is_synchronized | Valor booleano que indica si el controlador de dominio completó al menos una sincronización con sus socios de replicación |
| ldap_service_name | El nombre del servicio LDAP para el servidor LDAP en el controlador de dominio |
| naming_contexts | Conjunto multivaluado de nombres distinguidos |
| root_domain_naming_context | El nombre distinguido del contexto de nombres de dominio raíz |
| schema_naming_context | El nombre distinguido de la raíz del contexto de nomenclatura del esquema |
| server_name | El nombre distinguido del objeto del servidor. |
| subschema_subentry | El nombre distinguido de la ubicación del objeto subSchema donde se definen las clases y los atributos en el directorio. |
| supported_capabilities | Un conjunto multivaluado de OID que especifican las capacidades admitidas por el controlador de dominio |
| supported_control | Un conjunto multivaluado de OID que especifica los controles LDAP admitidos por el controlador de dominio |
| supported_ldap_policies | Un conjunto de cadenas de varios valores que especifican las políticas de consultas administrativas de LDAP admitidas por el controlador de dominio |
| supported_ldap_version | Conjunto de enteros que especifican las versiones de LDAP compatibles con el controlador de dominio |
| supported_sasl_mechanisms | Un conjunto de cadenas de varios valores que especifican los mecanismos de seguridad admitidos para la negociación SASL |
| amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","size","configuration_naming_context","current_time","default_naming_context","dns_host_name","domain_controller_functionality","domain_functionality","ds_service_name","forest_functionality","highest_committed_usn","is_global_catalog_ready","is_synchronized","ldap_service_name","naming_contexts","root_domain_naming_context","schema_naming_context","server_name","subschema_subentry","supported_capabilities","supported_control","supported_ldap_policies","supported_ldap_version","supported_sasl_mechanisms","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,389,node01.example.com,ldap-udp,64512,ZZ,Region,City,0,0,3038,"CN=Configuration,DC=ad,DC=example,DC=com",20220821044533.0Z,"DC=ad,DC=example,DC=com",node01.example.com,7,7,"CN=Configuration,DC=ad,DC=example,DC=com",7,222537,TRUE,TRUE,node01.example.com,"DC=ad,DC=example,DC=com|CN=Configuration,DC=example,DC=com|CN=Schema,CN=Configuration,DC=example,DC=com","DC=example,DC=com","CN=Schema,CN=Configuration,DC=example,DC=com","CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=example,DC=com","CN=Aggregate,CN=Schema,CN=Configuration,DC=example,DC=com",1.2.840.113556.1.4.800|1.2.840.113556.1.4.1670|1.2.840.113556.1.4.1791|1.2.840.113556.1.4.1935|1.2.840.113556.1.4.2080|1.2.840.113556.1.4.2237,1.2.840.113556.1.4.319|1.2.840.113556.1.4.801|1.2.840.113556.1.4.473|1.2.840.113556.1.4.528|1.2.840.113556.1.4.417|1.2.840.113556.1.4.619|1.2.840.113556.1.4.841|1.2.840.113556.1.4.529|1.2.840.113556.1.4.805|1.2.840.113556.1.4.521|1.2.840.113556.1.4.970|1.2.840.113556.1.4.1338|1.2.840.113556.1.4.474|1.2.840.113556.1.4.1339|1.2.840.113556.1.4.1340|1.2.840.113556.1.4.1413|2.16.840.1.113730.3.4.9|2.16.840.1.113730.3.4.10|1.2.840.113556.1.4.1504|1.2.840.113556.1.4.1852|1.2.840.113556.1.4.802|1.2.840.113556.1.4.1907|1.2.840.113556.1.4.1948|1.2.840.113556.1.4.1974|1.2.840.113556.1.4.1341|1.2.840.113556.1.4.2026|1.2.840.113556.1.4.2064|1.2.840.113556.1.4.2065|1.2.840.113556.1.4.2066|1.2.840.113556.1.4.2090|1.2.840.113556.1.4.2205|1.2.840.113556.1.4.2204|1.2.840.113556.1.4.2206|1.2.840.113556.1.4.2211|1.2.840.113556.1.4.2239|1.2.840.113556.1.4.2255|1.2.840.113556.1.4.2256|1.2.840.113556.1.4.2309|1.2.840.113556.1.4.2330|1.2.840.113556.1.4.2354,MaxPoolThreads|MaxPercentDirSyncRequests|MaxDatagramRecv|MaxReceiveBuffer|InitRecvTimeout|MaxConnections|MaxConnIdleTime|MaxPageSize|MaxBatchReturnMessages|MaxQueryDuration|MaxDirSyncDuration|MaxTempTableSize|MaxResultSetSize|MinResultSets|MaxResultSetsPerConn|MaxNotificationPerConn|MaxValRange|MaxValRangeTransitive|ThreadMemoryLimit|SystemMemoryLimitPercent,3|2,GSSAPI|GSS-SPNEGO|EXTERNAL|DIGEST-MD5,58.42
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/open-ldap-report/