В частности, как сервер LDAP отличит TCP-пакет, содержащий SearchRequestOp, от аутентифицированного пользователя, от TCP-пакета, содержащего SearchRequestOp, от неаутентифицированного пользователя?
Я понимаю, как работают операции BindRequest и BindResponse, но я хочу знать, что в пакете TCP или PDU LDAP используется сервером, чтобы знать, что SearchRequest действительно исходит от клиента / канала, который уже выполнил успешный BindRequest? И это что-то, что я вижу в захвате Wireshark?
LDAP - это протокол прикладного уровня. Ассоциация безопасности, выполняемая на уровне LDAP, в основном основана на соединении TCP или TLS.
TCP-соединение распознается сервером только по IP-адресу / порту клиента, что на самом деле небезопасно. Следовательно, вы должны использовать зашифрованный канал через TLS, который защищает от активных атак MITM.