CLDAP 放大攻擊

　CLDAP 放大攻擊(Connection-less Lightweight Directory Access Protocol Amplification Attack/ Connection-less LDAP Amplification Attack) 是一種利用 CLDAP 服務進行流量放大的 DDoS 分散式阻斷服務攻擊手法。

　CLDAP 放大攻擊是結合「反射」與「放大」兩種特性的 DDoS 攻擊方式：

• 反射(Reflection)：
  攻擊者把來源 IP 偽造成受害者的 IP，向公開的 CLDAP 伺服器發送請求，伺服器把回應發回被偽造的那個 IP(也就是受害者)，因此流量被「反射」給受害者。

• 放大(Amplification)：
  CLDAP 回應通常比攻擊者發出的請求大很多，放大倍率可達數十倍，所以攻擊者只需要用很小的上行流量，就能產生大流量攻擊目標。

　這兩者結合，就會是：攻擊者 偽造受害者 IP(反射)，向公開可訪問的 CLDAP 伺服器發送少量請求，伺服器則會回傳數倍甚至數十倍的回應資料(放大)，導致大量流量反射到受害者主機，造成網路壅塞與服務癱瘓。

　而根據 Cloudflare 在 2025 年 Q1 的報告中指出，CLDAP 放大攻擊的攻擊趨勢更是在這季增長了3488%。

▲CLDAP放大攻擊：攻擊者 → 偽造來源IP → 向 CLDAP 伺服器發送少量請求 → 伺服器回傳數十倍的回應資料 → 受害者目標被淹沒。

　另外，CLDAP放大攻擊 主要攻擊層級是以 OSI 模型 中的第三和第四層(L3/L4，網路層/傳輸層) 為主，屬於體積型的 DDoS 攻擊。其攻擊向量通常是 UDP/389 (CLDAP) 的大量反射流量，但由於放大來源來自應用協定 CLDAP(目錄查詢)，所以技術上也牽涉 第 7 層 (L7，應用層)的協定行為。

　因此，CLDAP放大攻擊 基本上是屬 3+4+7 層的 DDoS攻擊(雖然主要流量型攻擊在 L3/L4，但 L7 協定行為影響放大效率)。

※體積型(volumetric) DDoS 攻擊，就是透過大量網路流量，耗盡目標的頻寬或網路資源，讓服務癱瘓或無法正常運作，重點在「流量大、塞滿網路」。

CLDAP 是什麼

CLDAP(Connection-less LDAP) 無連線式輕量目錄存取協定，是 LDAP (Lightweight Directory Access Protocol) 輕量目錄存取協定 的一種「無連線」變體，採用 UDP (通常為 UDP/389) 傳輸。

CLDAP 常用於 Windows 網域的快速目錄查詢與網域控制器定位，如 LDAP ping / DC discovery，這些請求通常很小，但回應會包含較多的目錄資訊。

由於 UDP 為無連線且缺乏來源驗證，任何人都能向公開的 CLDAP 伺服器發出查詢，伺服器會直接將回應送回請求來源，則攻擊者可利用這一點偽造受害者 IP，使回應流量被「反射」並放大到受害者，因而使 CLDAP 成為常見的 DDoS 反射+放大攻擊。

CLDAP 放大攻擊的運作原理

　CLDAP 放大攻擊的核心在於利用 CLDAP (基於 UDP/389) 的無連線特性，把小量偽造請求轉換成大量回應，並把這些放大後的回應反射到受害者身上。也就是說 CLDAP 放大攻擊 是把「UDP 的可偽造性」和「CLDAP 回應體積大」兩者結合，將小請求放大並反射到受害者，形成高效能的 DDoS 攻擊。

其攻擊步驟如下。

Step 1｜攻擊者準備公開可訪問的 CLDAP 伺服器清單
攻擊者掃描網際網路，找出回應 CLDAP (UDP/389) 的伺服器，這些伺服器通常是未受限制的 Windows 目錄服務(或誤開放的設備)。

Step 2｜偽造來源 IP
攻擊者在發送 CLDAP 查詢時，將封包的來源 IP 欄位替換成「受害者的 IP」。由於 UDP 協定無連線、無嚴格來源驗證的機制，使偽造來源成為一種方式。

Step 3｜發出小量查詢封包
攻擊者向每個可利用的 CLDAP 伺服器，發出小巧的查詢請求，例如尋找網域控制器或查詢某個屬性。由於請求本身資料量通常很小，非常有利於快速大量發送。

Step 4｜伺服器回傳較大的回應
被查詢的 CLDAP 伺服器收到請求後，會根據目錄資料回傳包含多筆資訊的回應，而每個回應的大小，往往大於原始請求數十倍，有「放大」效果。而回應則會被送回 偽造的來源 IP，也就是受害者。

Step 5｜受害者遭受大量放大流量
大量 CLDAP 伺服器同時把放大的回應發往受害者，導致受害者的頻寬與處理資源被耗盡，服務中斷或嚴重延遲。

※攻擊者以低成本換取高流量影響
因為攻擊者只需發出小量請求且可分散來源、搭配放大倍率，使攻擊成本低、破壞力高，且來源難以直接追溯。

CLDAP 放大攻擊情境比喻

　我們用簡單的幾個生活案例來比喻 CLDAP 放大攻擊 會是怎麼樣的情況，讓讀者容易理解。

情境一：假冒地址的大量回信

我們想像一下，有人(攻擊者) 在網路上填寫一百份問卷(公開的 CLDAP 伺服器)，但都把「你的家地址」寫成回信地址(偽造來源 IP)。

每份問卷都會讓郵局寄回一大包資料給那個地址(你的家地址)，結果導致你家被一堆大包裹(放大後的回應流量) 淹沒，但你根本沒有填那份問卷。

情境二：假電話訂餐的送餐風暴

我們再想像一下，有人偽造你的電話號碼，並且打給成好幾家的餐廳說「請把大份餐點送到這個號碼」，結果每家餐廳都把大量餐點送到你門口，導致你家門口被無數外送擋住，生活無法正常運作，但你根本沒有跟那些餐廳訂餐。

對應到技術層面：撥號者=攻擊者、餐廳= 可被濫用的 CLDAP 伺服器、偽造的電話號碼= 偽造來源 IP、大量送餐= 多台伺服器同時發送放大回應。

Skycloud 如何防禦 CLDAP 放大攻擊

　CLDAP 放大攻擊 透過公開 CLDAP 伺服器放大流量反射到目標，造成網站頻寬耗盡與服務中斷，防護策略應該同時從 企業端 與 防護端 著手，才能有效降低風險。

　也就是說 企業端可以先做好基礎防護，再由 Skycloud 提供即時監控與流量清洗，雙管齊下，才能有效防禦 CLDAP 放大攻擊。這種分層防護策略不僅降低被濫用的風險，也確保在攻擊發生時，網站服務仍能穩定運作，保障企業營運不中斷。

企業端防護

企業自身可以採取以下措施來降低被攻擊風險。

• 封鎖或限制 UDP/389
  不對外開放 CLDAP 服務，只允許內部網路或特定可信來源存取，避免伺服器成為放大流量的來源，減少被濫用機會，若必須提供 CLDAP 服務，應限制可信來源 IP 存取。




• 定期掃描與修補
  定期檢查網路上是否有不必要或錯誤開放的 CLDAP 服務，透過更新系統與安全補丁，確保服務安全可靠。




• 出口封包過濾
  防止內部網路發送偽造來源 IP 封包，避免成為反射攻擊的中間點，並強化企業網路本身的責任與安全防護。

防護端

Skycloud 作為防護服務提供方，能在企業端防護之外提供即時監控與攻擊緩解。

• 流量監控與異常偵測
  即時監控流量，偵測異常反射攻擊並迅速啟動清洗或防護措施，降低對企業網路和服務的衝擊。




• DDoS 清洗與流量防護
  當攻擊流量湧入時，將其導向清洗節點，過濾掉惡意封包，只讓正常流量通過，確保網站和服務不中斷。




• 策略優化與專業建議
  協助企業設定防護規則、調整安全策略，並針對不同攻擊向量提供最佳化建議，提升整體防禦效果。

總結

　CLDAP 放大攻擊是一種典型的 反射+放大型 DDoS 攻擊，攻擊者利用公開的 CLDAP 伺服器，把小型查詢請求放大成大量流量，反射到受害者，造成頻寬耗盡與服務中斷。

　另外，CLDAP 放大攻擊其主要攻擊層級是 OSI 模型的 L3/L4(網路層/傳輸層)，同時因 CLDAP 協定行為也涉及 L7(應用層)。

　防禦上，企業應封鎖或限制 UDP/389、定期掃描與修補，並透過出口封包過濾降低被濫用風險；防護端如 Skycloud 可提供即時監控、流量清洗與策略優化，雙管齊下確保網站穩定運行與營運不中斷。