Блокировка UDP-соединения для порта 389 через брандмауэр

Пошаговое руководство

После установки Windows, по умолчанию активна служба LDAP (служба каталога протокола). 

LDAP - это протокол прикладного уровня, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Проблема состоит в том, что для сторонних ресурсов существует возможность воспользоваться чужой службой LDAP для DDoS атак, так называемых "Reflection attacks". 

Процесс осуществляется через UDP-соединение с 389 портом. Для того, чтобы предотвратить такого рода исходящие атаки вы можете заблокировать UDP-соединение для порта 389 через брандмауэр. Блокировка такого типа соединений не должна повлиять на использование "Active Directory", так как в данном случае используется TCP-соединение.

Откройте "Брандмауэр Windows" (Windows Firewall), в левом боковом меню выберите "Дополнительные параметры" (Advanced settings).

В левом боковом меню выберите "Правила для входящих подключений" (Inbound Rules):

Нажмите Действие → Создать правило (New Rule...) в верхнем меню:

Откроется мастер создания правил, в котором вам необходимо выбрать тип правила "Для порта" (Port) и нажать "Далее >" (Next):

На следующей странице выберите "Протокол UDP" (UDP) и в графе "Определенные локальные порты" (Specific local ports) впишите значение 389 и нажмите "Далее >" (Next):

На открывшейся странице необходимо выбрать "Блокировать подключение" (Block the connection) и снова нажать "Далее >" (Next)

На странице "Профиль" (Profile) убедитесь, что выбраны все профили, затем нажмите "Далее >" (Next)

На последнем шаге необходимо задать имя для созданного правила, например, "UDP LDAP block". После того, как поле Имя будет заполнено, вам необходимо подтвердить настройки, нажав кнопку "Готово" (Finish)

Служба LDAP более не будет доступна для описанных выше DDoS-атак.