NTP-versterking DDoS-aanval


NTP-versterking DDoS-aanval

Het Network Time Protocol (NTP) is een van de oudste protocollen die nog steeds op internet wordt gebruikt. Het werd voor het eerst gebruikt in het midden van de jaren tachtig toen het werd gemaakt door David L. Mills van de Universiteit van Delaware. Mills, die algemeen wordt erkend als een internetpionier, probeerde een internetprotocol (IP) te maken dat de interne klok van een computer synchroniseert.


Het NTP-protocol heeft sinds zijn oprichting veel misbruik en misbruik gekend. Dit is aantoonbaar terug te voeren tot het jaar 2002. In recentere tijden is een bepaald type Distributed-Denial-of-Service (DDoS-aanval), die het NTP-protocol gebruikt, is een altijd aanwezige bedreiging geworden. Hoewel het idee van NTP-versterking is niet nieuw, sinds het jaar 2014 hebben hackers met succes DDoS’s talloze doelen ermee behaald.

Het meest significante incident met een NTP-versterking DDoS was in 2014, waar Cloudflare-servers direct het doelwit waren van een DDoS-aanval die zelfs de CEO van het bedrijf verontrustte (hij noemde het “het begin van lelijke dingen die komen gaan”). Destijds om 400 Gbps, dit was ooit een van de grootste DDoS-aanvallen ooit. Om een ​​aanval te verrassen bij een bedrijf dat bekend staat om zijn sterke DDoS-bescherming, zou dit u een idee moeten geven van hoe krachtig NTP-versterking kan zijn.

Aangezien dit het geval is, is het van vitaal belang voor beveiligingsprofessionals en leiders die verantwoordelijk zijn voor het beveiligingsbeleid om NTP-versterkingsaanvallen te begrijpen. Hoewel de aanval is overschaduwd door andere, krachtigere aanvallen, is het nog steeds een grote bedreiging. Tegen de tijd dat u klaar bent met het lezen van deze primer, zult u niet alleen een DDoS-aanval met NTP-versterking begrijpen, maar u er ook tegen kunnen verdedigen.

Wat is een NTP-versterkingsaanval?

Een DDoS-aanval met NTP-versterking, simpel gezegd, maakt gebruik van openbare Network Time Protocol-servers om een ​​doel met een botnet te overbelasten. Voor niet-ingewijden is een botnet een set machines (genaamd “zombies”) Die worden gebruikt bij een DDoS-aanval. Ze worden bestuurd door de aanvaller met behulp van een Command-and-Control (C2) -server en gebruiken hun grote aantallen om een ​​doelwit te overbelasten. In het geval van een NTP-versterking, de DDoS gebeurt via het User Datagram Protocol (UDP). UDP heeft geen reactie nodig (zoals de TCP / IP drieweg SYN-SYN / ACK-ACK handdruk) om pakketten te verzenden. Om deze reden is het gemakkelijker om een ​​Denial-of-Service (DoS) -situatie te creëren die een server of netwerk offline raakt.

De NTP-versterkingsaanval is mogelijk vanwege een fout in het ontwerp van het Network Time Protocol. NTP heeft een inherente bewakingsservice waarmee sysadmins het aantal verkeer van verbonden clients kunnen controleren. Met behulp van de opdracht ‘get monlist’ kan een aanvaller gebruikmaken van de mogelijkheden van deze bewakingsdienst om hun adres te laten vervalsen als dat van het slachtoffer. Ter referentie: met “monlist” kan een beheerder ongeveer 600 van de meest recente clients zien die verbinding met de server kunnen maken.

Wat uiteindelijk gebeurt, is de UDP verkeer overbelast de server en maakt deze onbruikbaar. De beheerder is niet wijzer omdat ze al het verkeer zien als behorend tot een legitieme gebruiker.

Hoewel dit een kort overzicht is, is het noodzakelijk om de NTP DDoS-aanval stap voor stap te begrijpen. Alleen dan kunnen personen die verantwoordelijk zijn voor servers leren zich ertegen te verdedigen.

Hoe werkt een NTP-versterkingsaanval?

  • Een bedreigingsactor vormt een botnet via de vele methoden die tegenwoordig beschikbaar zijn (het infecteren van verschillende apparaten met malware is de meest waarschijnlijke optie).
  • De aanvaller vindt vervolgens een openbaar beschikbare NTP-server en bepaalt een IP-adres dat hij als legitiem accepteert.
  • Met behulp van dit IP-adres maakt de bedreigingsacteur vervalste UDP-pakketten die door de botnet-zombiemachines worden verzonden. Elk UDP-pakket wordt geladen met de opdracht “get monlist”.
  • Het botnet begint vervolgens met het verzenden van de UDP-pakketten en dankzij de combinatie van de constante toestroom van kwaadaardig verkeer, begint de NTP-server te reageren op een enorme hoeveelheid “get monlist” -opdrachten.
  • De NTP-server wordt snel overweldigd door te proberen te reageren op elk verkeerd opgemaakt UDP-pakket.
  • Het slachtoffer wordt offline geslagen en elk legitiem verkeer kan er niet doorheen komen.

Hoe wordt een NTP-versterkingsaanval verzacht??

De ongelukkige realiteit met NTP-versterkingsaanvallen is dat er maar heel weinig ijzersterke oplossingen zijn. Veel hiervan heeft te maken met de leeftijd van het protocol. Oudere protocollen zijn vatbaar voor uitbuiting op grotere schaal, simpelweg omdat de in de jaren tachtig aanwezige bedreigingen sindsdien exponentieel zijn toegenomen. We hebben computers met rekenkracht waardoor oude computers op primitieve technologie lijken. Toen het internet halverwege de jaren negentig openbaar werd, zou het idee van mobiele telefoons zoals die we nu hebben, als sciencefiction worden beschouwd. Met andere slimme apparaten die allemaal verbinding maken met het internet der dingen, is het maken van botnet eenvoudiger dan ooit tevoren.

Er zijn echter enkele dingen die kunnen worden gedaan om een ​​DDoS-aanval met NTP-versterking te verminderen. Zoals in dit rapport vaak werd opgemerkt, is de opdracht “monlist” de sleutel tot het exploiteren van een NTP-server. Afhankelijk van de gebruikte server is het mogelijk om een ​​patch te installeren die de opdracht “monlist” uitschakelt. Het lastige hiervan is dat de patch 4.2.7 of hoger moet zijn. Veel NTP-servers zijn verouderde servers en kunnen deze patch niet ondersteunen. Als zodanig is er een andere oplossing die moet worden geïmplementeerd om deze te verminderen. Op een openbare NTP-server raadt US-CERT aan dat oudere systemen de opdracht “noquery” invoeren in de systeemconfiguratie “beperken standaard”. Als het correct wordt uitgevoerd, wordt de opdracht “monlist” uitgeschakeld.

Deze mitigatietactieken zijn mogelijk nog steeds niet voldoende. Afhankelijk van de grootte van uw organisatie kan het nodig zijn om diensten van derden in te schakelen. Zelfs de sterkste netwerken kunnen worden verlamd door een correct ingezette botnetaanval. Aangezien dit het geval is, kan een externe service nodig zijn die netwerkverkeer kan verspreiden. Het zal dan de server meer belasten dan alleen het beoogde netwerk, en in plaats daarvan een deel van de hitte wegnemen, zodat het vervalste verkeer niet allemaal dezelfde server bereikt.

Lees meer over DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map