NTP Amplificare DDoS Attack


NTP Amplificare DDoS Attack

Protocolul timpului de rețea (NTP) este unul dintre cele mai vechi protocoale încă utilizate pe internet astăzi. A fost folosit pentru prima dată la mijlocul anilor 1980, când a fost creat de David L. Mills de la Universitatea din Delaware. Mills, care este recunoscut pe scară largă ca pionier pe internet, a căutat să creeze un protocol internet (IP) care să sincronizeze ceasul intern al unui computer.


Protocolul NTP a observat de la înființare o mare cantitate de abuzuri și abuzuri. Acest lucru poate fi remarcat încă din anul 2002. În vremurile mai recente, un anumit tip de distribuire-refuz de serviciu (Atac DDoS), care folosește protocolul NTP, a devenit o amenințare permanentă. Deși ideea de Amplificare NTP nu este nou, din 2014, hackerii au reușit nenumărate ținte ale lui DDoS.

Cel mai semnificativ incident care a implicat o amplificare NTP DDoS a fost în 2014, unde serverele Cloudflare au fost direct vizate de un atac DDoS care l-a alarmat chiar pe CEO-ul companiei (el a numit-o „începutul lucrurilor urâte care vor urma”). La vremea respectivă, la 400 Gbps, acesta a fost odată unul dintre cele mai mari atacuri DDoS. Pentru un atac care să surprindă o companie cunoscută pentru protecția DDoS puternică, aceasta ar trebui să vă ofere o idee despre cât de puternică poate fi amplificarea NTP.

Așa cum este cazul, este esențial ca profesioniștii în securitate și conducătorii responsabili cu politica de securitate să înțeleagă atacurile de amplificare NTP. Deși atacul a fost umbrit de alte atacuri, mai puternice, este încă o amenințare. Până când veți termina să citiți acest primer, nu veți înțelege doar un atac DDoS de amplificare NTP, ci și să vă puteți apăra împotriva acestuia.

Ce este un atac de amplificare NTP?

Un atac DDoS de amplificare NTP, pur și simplu, exploatează serverele publice de protocol de timp pentru rețea pentru a supraîncărca o țintă cu o botnet. Pentru cei neinițiați, o botnet este un set de mașini (numit „zombi”) Care sunt utilizate într-un atac DDoS. Acestea sunt controlate de atacator folosind un server Command-and-Control (C2) și folosesc numărul lor mare pentru a supraîncărca o țintă. În cazul unei amplificări NTP, DDoS are loc prin UDP (User Datagram Protocol). UDP nu necesită niciun răspuns (precum strângerea de mână SYN-SYN / ACK-ACK cu trei căi TCP / IP) pentru a trimite pachete. Din acest motiv, este mai ușor să creezi o situație de refuz de serviciu (DoS) care să bată un server sau o rețea offline.

Atacul de amplificare NTP este posibil din cauza unui defect în proiectarea protocolului de timp de rețea. NTP are un serviciu de monitorizare inerent care permite sysadminilor să verifice numărul de trafic al clienților conectați. Folosind comanda „obține monlist”, un atacator poate folosi abilitățile acestui serviciu de monitorizare de a-și răspândi adresa pentru a fi cea a victimei. Pentru referință, „monlist” permite unui administrator să vadă aproximativ 600 dintre cei mai recente clienți să se conecteze la server.

Ceea ce se întâmplă până la urmă este UDP traficul supraîncărcă serverul și îl face nefuncțional. Administratorul nu este cel mai înțelept deoarece consideră că tot traficul aparține unui utilizator legitim.

Deși aceasta este o scurtă privire de ansamblu, este necesar să înțelegem pas cu pas atacul NTP DDoS. Doar atunci persoanele responsabile de servere pot învăța cum să se apere împotriva ei.

Cum funcționează un atac de amplificare NTP?

  • Un actor amenințător formează o botnet prin numeroasele metode disponibile astăzi (infectarea diferitelor dispozitive cu malware este cea mai probabilă opțiune).
  • Atacatorul găsește apoi un server NTP disponibil public și determină o adresă IP pe care o va accepta drept legitimă.
  • Utilizând această adresă IP, meșteșugul actorilor amenințatori pachetele UDP spoofed să fie trimise de către mașinile zombie botnet. Fiecare pachet UDP este încărcat cu comanda „get monlist”.
  • Botnetul începe apoi să trimită pachetele UDP și, datorită combinației afluxului constant de trafic rău intenționat, serverul NTP începe să răspundă unei cantități enorme de comenzi „get monlist”..
  • Serverul NTP devine repede copleșit în încercarea de a răspunde fiecărui pachet UDP malformat.
  • Victima este eliminată offline și orice trafic legitim nu poate trece.

Cum este atenuat un atac de amplificare NTP?

Nefericita realitate cu Atacuri de amplificare NTP este că există foarte puține soluții de călcat. Multe dintre acestea au legătură cu vârsta protocolului. Protocoalele mai vechi sunt predispuse la exploatare la o scară mai mare, doar pentru că amenințările prezente în anii 1980 s-au înmulțit exponențial de atunci. Avem computere cu putere de procesare care face ca calculatoarele vechi să pară o tehnologie primitivă. Când internetul a devenit public la mijlocul anilor ’90, ideea de telefoane celulare precum cele pe care le avem astăzi ar fi considerată science fiction. Cu alte dispozitive inteligente care se conectează la Internet-of-Things, crearea de botnet este mai ușoară ca niciodată.

Există, totuși, câteva lucruri care pot fi făcute pentru atenuarea unui atac DDoS de amplificare NTP. Așa cum s-a remarcat frecvent în acest raport, comanda „monlist” este cheia pentru exploatarea unui server NTP. În funcție de serverul utilizat, este posibil să instalați un patch care dezactivează comanda „monlist”. Lucrul complicat cu acest lucru este că patch-ul trebuie să fie 4.2.7 sau mai mare. Multe servere NTP sunt servere vechi și nu pot suporta acest patch. Ca atare, există o altă soluție care trebuie pusă în aplicare pentru atenuare. Pe un server NTP cu vedere publică, US-CERT recomandă sistemelor moștenite să introducă comanda „noquery” la configurația sistemului „default default”. Dacă este executată corect, va dezactiva comanda „monlist”.

Este posibil ca aceste tactici de atenuare să nu fie suficiente. În funcție de dimensiunea organizației dvs., poate fi necesar să angajați servicii terțe. Chiar și cele mai puternice rețele pot fi blocate printr-un atac botnet implementat corespunzător. Așa cum este cazul, poate fi necesar un serviciu terț care să împrăștie traficul de rețea. Acesta va pune apoi încărcarea serverului pe mai mult decât rețeaua vizată și va înlocui o parte din căldură, astfel încât traficul deteriorat să nu ajungă la același server.

Aflați mai multe despre DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me