Wzmocnienie NTP Atak DDoS


Wzmocnienie NTP Atak DDoS

Network Time Protocol (NTP) jest jednym z najstarszych protokołów nadal używanych w Internecie. Po raz pierwszy użyto go w połowie lat 80., kiedy został stworzony przez Davida L. Millsa z Uniwersytetu Delaware. Mills, który jest powszechnie uznawany za pioniera Internetu, starał się stworzyć protokół internetowy (IP), który synchronizuje wewnętrzny zegar komputera.


Od samego początku protokół NTP był wielokrotnie nadużywany i niewłaściwie wykorzystywany. Można przypuszczać, że można to przypisać do roku 2002. W ostatnich czasach szczególny rodzaj rozproszonej odmowy usługi (Atak DDoS), który korzysta z protokołu NTP, stał się stale obecnym zagrożeniem. Chociaż pomysł Wzmocnienie NTP nie jest niczym nowym, ponieważ od 2014 roku hakerzy z powodzeniem wykonali DDoS przy niezliczonych celach.

Najbardziej znaczący incydent z udziałem DDoS ze wzmocnieniem NTP miał miejsce w 2014 roku, gdy serwery Cloudflare były bezpośrednio atakowane przez atak DDoS, który zaalarmował nawet prezesa firmy (nazwał to „początkiem brzydkich rzeczy, które nadejdą”). W tym czasie o 400 Gb / s, był to kiedyś jeden z największych ataków DDoS w historii. Aby atak zaskoczył firmę znaną z silnej ochrony przed DDoS, powinno to dać ci pojęcie o tym, jak potężne może być wzmocnienie NTP.

W tym przypadku specjaliści ds. Bezpieczeństwa i liderzy odpowiedzialni za politykę bezpieczeństwa muszą zrozumieć ataki polegające na wzmocnieniu protokołu NTP. Chociaż atak został przyćmiony przez inne, silniejsze ataki, nadal stanowi duże zagrożenie. Kiedy skończysz czytać ten elementarz, nie tylko zrozumiesz atak DDoS ze wzmocnieniem NTP, ale także będziesz w stanie się przed nim obronić.

Co to jest atak wzmacniający NTP?

Mówiąc prościej, atak DDoS ze wzmocnieniem NTP wykorzystuje publiczne serwery Network Time Protocol do przeciążenia celu botnetem. Dla niewtajemniczonych botnet to zestaw maszyn (zwany „zombie”), Które są używane w ataku DDoS. Są kontrolowani przez atakującego za pomocą serwera Command-and-Control (C2) i używają ich dużej liczby do przeciążenia celu. W przypadku amplifikacji NTP, DDoS odbywa się za pośrednictwem protokołu UDP (User Datagram Protocol). UDP nie wymaga żadnej odpowiedzi (takiej jak potrójny uścisk dłoni SYN-SYN / ACK-ACK TCP / IP), aby wysłać pakiety. Z tego powodu łatwiej jest stworzyć sytuację odmowy usługi (DoS), która powoduje wyłączenie serwera lub sieci w trybie offline.

Amplifikacja NTP jest możliwa ze względu na wadę w projekcie Network Time Protocol. NTP ma wbudowaną usługę monitorowania, która umożliwia administratorom sprawdzanie liczby odwiedzin podłączonych klientów. Korzystając z polecenia „get monlist”, osoba atakująca może wykorzystać możliwości tej usługi monitorowania, aby sfałszować swój adres jako adres ofiary. Dla porównania, „monlist” pozwala administratorowi zobaczyć około 600 najnowszych klientów łączących się z serwerem.

Ostatecznie dzieje się UDP ruch przeciąża serwer i czyni go nieoperacyjnym. Administrator nie jest mądrzejszy, ponieważ widzi cały ruch jako należący do legalnego użytkownika.

Chociaż jest to krótki przegląd, konieczne jest zrozumienie ataku NDDDS krok po kroku. Tylko wtedy osoby odpowiedzialne za serwery dowiedzą się, jak się przed tym bronić.

Jak działa atak NTP Amplification?

  • Zagrożyciel tworzy botnet za pomocą wielu dostępnych obecnie metod (najbardziej prawdopodobne jest zainfekowanie różnych urządzeń złośliwym oprogramowaniem).
  • Następnie osoba atakująca znajduje publicznie dostępny serwer NTP i określa adres IP, który zaakceptuje jako zgodny z prawem.
  • Korzystając z tego adresu IP, aktor zagrożenia tworzy fałszywe pakiety UDP, które mają być wysyłane przez maszyny zombie botnetu. Każdy pakiet UDP jest ładowany za pomocą polecenia „get monlist”.
  • Botnet zaczyna wtedy wysyłać pakiety UDP, a dzięki kombinacji ciągłego napływu złośliwego ruchu serwer NTP zaczyna reagować na ogromną liczbę poleceń „get monlist”.
  • Serwer NTP szybko zostaje przytłoczony próbą odpowiedzi na każdy zniekształcony pakiet UDP.
  • Ofiara zostaje wyłączona z trybu offline i żaden legalny ruch nie może się przedostać.

W jaki sposób minimalizowany jest atak wzmocnienia NTP?

Niefortunna rzeczywistość z Ataki wzmacniające NTP jest to, że istnieje bardzo niewiele rozwiązań żelaznych ładunków. Wiele z tego ma związek z wiekiem protokołu. Starsze protokoły są podatne na wykorzystywanie na większą skalę po prostu dlatego, że zagrożenia występujące w latach 80. XX w. Ulegały wykładniczemu namnażaniu. Mamy komputery o mocy obliczeniowej, która sprawia, że ​​stare komputery wydają się prymitywną technologią. Kiedy internet stał się publiczny w połowie lat 90., pomysł na telefony komórkowe takie jak te, które mamy dzisiaj, można uznać za science fiction. Dzięki innym inteligentnym urządzeniom łączącym się z Internetem rzeczy tworzenie botnetu jest łatwiejsze niż kiedykolwiek wcześniej.

Są jednak pewne rzeczy, które można zrobić, aby złagodzić atak DDoS ze wzmocnieniem NTP. Jak często zauważano w tym raporcie, polecenie „monlist” jest kluczem do wykorzystania serwera NTP. W zależności od używanego serwera można zainstalować łatkę, która wyłącza polecenie „monlist”. Problem polega na tym, że łatka musi mieć wersję 4.2.7 lub nowszą. Wiele serwerów NTP jest starszymi serwerami i nie obsługuje tej poprawki. W związku z tym istnieje inne obejście, które należy wprowadzić w celu złagodzenia. Na publicznym serwerze NTP US-CERT zaleca, aby starsze systemy wprowadziły komendę „noquery” do konfiguracji systemu „ogranicz domyślną”. Prawidłowe wykonanie spowoduje wyłączenie polecenia „monlist”.

Te taktyki łagodzące mogą wciąż nie wystarczyć. W zależności od wielkości organizacji może być konieczne zatrudnienie usług stron trzecich. Nawet najsilniejsze sieci mogą zostać sparaliżowane przez odpowiednio wdrożony atak botnetów. W takim przypadku może być konieczna usługa innej firmy, która może rozpraszać ruch sieciowy. Spowoduje to obciążenie serwera nie tylko siecią docelową, a zamiast tego zmniejszy trochę ciepła, aby sfałszowany ruch nie dotarł do tego samego serwera.

Dowiedz się więcej o DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map