NTP magnun DDoS árás


NTP magnun DDoS árás

Network Time Protocol (NTP) er ein elsta siðareglur sem enn eru í notkun á internetinu í dag. Það var fyrst notað um miðjan níunda áratuginn þegar það var stofnað af David L. Mills háskólanum í Delaware. Mills, sem er almennt viðurkenndur sem brautryðjandi á internetinu, leitaði að því að búa til Internet Protocol (IP) sem samstillir innri klukku tölvu.


NTP siðareglur hafa séð mikla misnotkun og misnotkun frá upphafi. Það er hægt að rekja þetta til ársins 2002. Í seinni tíð hefur verið gerð sérstök tegund af dreifðri afneitun þjónustu (DDoS árás), sem notar NTP siðareglur, hefur orðið sífelld ógn. Þó hugmyndin um NTP magnun er ekki nýtt, síðan árið 2014 hafa tölvusnápur tekist með ótal markmiðum með það.

Mikilvægasta atvikið sem fól í sér NTP mögnun DDoS var árið 2014, þar sem Cloudflare netþjónar voru beinlínis miðaðir af DDoS árás sem olli jafnvel forstjóra fyrirtækisins (hann kallaði það „byrjun á ljótum hlutum sem koma“). Á sínum tíma, kl 400 Gbps, þetta var einu sinni stærsta DDoS árás sem gerð hefur verið. Til að koma á óvart fyrirtæki sem er þekkt fyrir sterka DDoS vernd, ætti þetta að gefa þér hugmynd um hversu öflug NTP mögnun getur verið.

Þar sem þetta er tilfellið er það mikilvægt fyrir fagfólk í öryggismálum og leiðtoga sem sjá um öryggisstefnu að skilja NTP magnunarárásir. Þrátt fyrir að önnur og öflugri árás hafi verið skyggð á árásina er hún samt mjög ógn. Þegar þú ert búinn að lesa þennan grunngerð, muntu ekki bara skilja DTP-árás NTP-magnunar, heldur geturðu líka varið gegn því.

Hvað er NTP amplification Attack?

NTP mögnun DDoS árás, sett einfaldlega, nýtir almenna netverndar netverndar netþjóna til að ofhlaða miða með botneti. Fyrir hina óafkomnu er botnet net sett af vélum (kallað „zombie”) Sem eru notaðir í DDoS árás. Þeim er stjórnað af árásarmanninum með því að nota Command-and-Control (C2) netþjón og nota stóra fjölda þeirra til að ofhlaða miða. Ef um er að ræða NTP mögnun er DDoS gerist með UDP (User Datagram Protocol). UDP þarfnast ekki svara (eins og TCP / IP þriggja leiða SYN-SYN / ACK-ACK handaband) til að senda pakka. Af þessum sökum er auðveldara að búa til afneitun á þjónustu (DoS) aðstæður sem bankar á netþjóni eða neti án nettengingar.

NTP magnunarárásin er möguleg vegna galla í hönnun Network Time Protocol. NTP er með innbyggða eftirlitsþjónustu sem gerir kerfisstjórum kleift að athuga umferðarfjölda tengdra viðskiptavina. Með því að nota „fáðu monlist“ skipunina getur árásarmaður nýtt sér hæfileika þessarar eftirlitsþjónustu til að skemma að heimilisfang þeirra sé það sem fórnarlambið hefur. Til viðmiðunar, „monlist“ gerir kerfisstjóra kleift að sjá um það bil 600 af nýjustu viðskiptavinum til að tengjast netþjóninum.

Það sem gerist að lokum er UDP umferð ofhleðir netþjóninn og gerir hann óstarfhæfan. Stjórnandinn er enginn vitrari þar sem þeir sjá alla umferðina tilheyra lögmætum notanda.

Þó að þetta sé stutt yfirlit er nauðsynlegt að skilja NTP DDoS árás skref fyrir skref. Aðeins þá geta einstaklingar sem hafa umsjón með netþjónum lært að verjast því.

Hvernig virkar NTP amplification Attack?

  • Ógnunarleikari myndar botnet með þeim fjölmörgu aðferðum sem til eru í dag (smitun ýmissa tækja með malware er líklegasti kosturinn).
  • Árásarmaðurinn finnur síðan NTP netþjóni sem er aðgengilegur og ákvarðar IP-tölu sem hann mun samþykkja sem lögmætan.
  • Með því að nota þetta IP tölu ógnaði leikarinn sem ógnar leikföng UDP-pakka til að senda með botnet zombie vélunum. Hver UDP pakki er hlaðinn með „get monlist“ skipuninni.
  • Botnetið byrjar síðan að senda UDP-pakkana, og þökk sé samsetningu stöðugs innstreymis skaðlegrar umferðar, byrjar NTP netþjóninn að svara gífurlegu magni af „fá monlist“ skipunum.
  • NTP netþjóninn verður fljótt óvart þegar hann reynir að bregðast við hverjum gallaða UDP-pakka.
  • Fórnarlambið er slegið án nettengingar og öll lögmæt umferð kemst ekki í gegn.

Hvernig er mótvægisárás NTP magnað?

Óheppilegi veruleikinn með NTP mögnun árás er að það eru mjög fáar járnklæddar lausnir. Margt af þessu hefur að gera með aldur bókunarinnar. Eldri samskiptareglur hafa tilhneigingu til hagnýtingar í meiri mæli einfaldlega vegna þess að ógnir, sem voru til staðar á níunda áratugnum, hafa margfaldast veldishraða síðan þá. Við erum með tölvur með vinnsluafl sem gerir það að verkum að tölvur úr gömlum virðast vera frumstæð tækni. Þegar internetið fór fram um miðjan tíunda áratug síðustu aldar væri hugmyndin um farsíma eins og þá sem við höfum í dag talin vísindaskáldskapur. Með öðrum snjalltækjum sem öll tengjast internetinu er botnetnet auðveldara en nokkru sinni fyrr.

Það eru samt nokkur atriði sem hægt er að gera til að draga úr ND magnun DDoS árás. Eins og oft var tekið fram í allri þessari skýrslu er „monlist“ skipunin lykillinn að því að nýta NTP netþjón. Það fer eftir netþjóninum sem notaður er, það er mögulegt að setja upp plástur sem gerir „monlist“ skipunina óvirkan. Það erfiða við þetta er að plásturinn verður að vera 4.2.7 eða hærri. Margir NTP netþjónar eru eldri netþjónar og geta ekki stutt þennan plástur. Sem slíkur er önnur lausn sem þarf að hrinda í framkvæmd til að draga úr málum. Á NTP netþjóni sem snýr að almenningi mælir US-CERT með eldri kerfum sem setja inn „noquery“ skipunina í „takmarka sjálfgefna“ kerfisstillingu. Ef það er keyrt rétt mun það slökkva á „monlist“ skipuninni.

Þessar aðgerðir til mótvægis eru ef til vill ekki nægar. Það fer eftir stærð fyrirtækisins, það gæti verið nauðsynlegt að nota þjónustu frá þriðja aðila. Jafnvel sterkustu netkerfið er hægt að örkumla með rétt settri botnetárás. Þar sem þetta er tilfellið getur þjónusta þriðja aðila sem getur dreift netumferð verið nauðsynleg. Það mun síðan setja netþjóni álag á meira en bara markviss net og taka í staðinn hluta af hitanum svo að ósvikin umferð nái ekki allir til sama netþjónsins.

Frekari upplýsingar um DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map