NTP-forsterkning DDoS Attack


NTP-forsterkning DDoS Attack

Network Time Protocol (NTP) er en av de eldste protokollene som fremdeles er i bruk på internett i dag. Det ble først brukt på midten av 1980-tallet da det ble opprettet av University of Delaware’s David L. Mills. Mills, som er anerkjent som en internettpioner, søkte å lage en internettprotokoll (IP) som synkroniserer den interne klokken til en datamaskin.


NTP-protokollen har sett mye misbruk og misbruk siden starten. Dette kan uten tvil spores tilbake til året 2002. I nyere tid har en bestemt type distribuert-benektelse-av-tjeneste (DDoS angrep), som bruker NTP-protokollen, har blitt en stadig nærværende trussel. Skjønt ideen om NTP-forsterkning er ikke nytt, siden året 2014 har hackere vellykket DDoS’e utallige mål med det.

Den viktigste hendelsen som involverte en NTP-forsterkning DDoS var i 2014, der Cloudflare-servere ble direkte målrettet av et DDoS-angrep som skremte selv administrerende direktør i selskapet (han kalte det “starten på stygge ting som kommer”). Den gangen, kl 400 Gbps, dette var en gang av de største DDoS-angrepene noensinne. For et angrep for å overraske et selskap som er kjent for sterk DDoS-beskyttelse, bør dette gi deg en ide om hvor kraftig NTP-forsterkning kan være.

Da dette er tilfelle, er det viktig for sikkerhetsfagfolk og ledere med ansvar for sikkerhetspolitikk å forstå NTP-forsterkningsangrep. Selv om angrepet er overskygget av andre, kraftigere angrep, er det fremdeles veldig en trussel. Når du er ferdig med å lese denne primeren, vil du ikke bare forstå et NTP-forsterkning DDoS-angrep, men også kunne forsvare deg mot det.

Hva er et NTP-forsterkningsangrep?

Et DTP-angrep fra NTP-angrep, ganske enkelt, utnytter offentlige Network Time Protocol-servere for å overbelaste et mål med et botnet. For de uinnvidde er et botnet et sett med maskiner (kalt “zombier”) Som brukes i et DDoS-angrep. De blir kontrollert av angriperen ved hjelp av en Command-and-Control (C2) server og bruker deres store tall for å overbelaste et mål. I tilfelle av en NTP-forsterkning, DDoS skjer via User Datagram Protocol (UDP). UDP krever ikke noe svar (som TCP / IP-treveis SYN-SYN / ACK-ACK-håndtrykk) for å sende pakker. Av denne grunn er det lettere å opprette en Denial-of-Service (DoS) -situasjon som banker en server eller et nettverk offline.

NTP-forsterkningsangrepet er mulig på grunn av en feil i utformingen av Network Time Protocol. NTP har en iboende overvåkningstjeneste som lar systemadministratorer sjekke trafikktall for tilkoblede klienter. Ved å bruke kommandoen “få monlist” kan en angriper utnytte denne overvåkningstjenestens evner til å forfalske adressen sin til å være den til offerets. For referanse, “monlist” lar en administrator se omtrent 600 av de nyeste klientene for å koble seg til serveren.

Det som til slutt skjer er UDP trafikk overbelaster serveren og gjør den ubrukelig. Administratoren er ingen klokere, ettersom de ser all trafikken som tilhører en legitim bruker.

Selv om dette er en kort oversikt, er det nødvendig å forstå NTP DDoS-angrepet trinn for trinn. Først da kan enkeltpersoner med ansvar for servere lære å forsvare seg mot det.

Hvordan fungerer et NTP-forsterkningsangrep?

  • En trusselaktør danner et botnett gjennom de mange metodene som er tilgjengelige i dag (å infisere forskjellige enheter med skadelig programvare er det mest sannsynlige alternativet).
  • Angriperen finner deretter en offentlig tilgjengelig NTP-server og bestemmer en IP-adresse som den vil godta som legitim.
  • Ved hjelp av denne IP-adressen spoofet trusselaktøren håndverk UDP-pakker som skal sendes av botnet zombie-maskiner. Hver UDP-pakke er lastet med kommandoen “få monlist”.
  • Botnet begynner deretter å sende UDP-pakker, og takket være kombinasjonen av den konstante tilstrømningen av ondsinnet trafikk, begynner NTP-serveren å svare på en enorm mengde “få monlist” -kommandoer.
  • NTP-serveren blir raskt overveldet når han prøver å svare på hver misdannet UDP-pakke.
  • Offeret blir slått frakoblet, og all legitim trafikk klarer ikke å komme gjennom.

Hvordan begrenses et NTP-forsterkningsangrep?

Den uheldige virkeligheten med NTP-forsterkningsangrep er at det er veldig få jernbelagte løsninger. Mye av dette har å gjøre med protokollens alder. Eldre protokoller er utsatt for utnyttelse i større skala ganske enkelt fordi trusler som var til stede på 1980-tallet har mangedoblet seg eksponentielt siden den gang. Vi har datamaskiner med prosessorkraft som gjør at datamaskiner av gamle virker som primitiv teknologi. Da internett ble offentlig på midten av 1990-tallet, ville ideen om mobiltelefoner som de vi har i dag betraktes som science fiction. Med andre smarte enheter som alle kobler til Internett-av-tingen, er botnet-opprettingen enklere enn noen gang før.

Det er imidlertid noen ting som kan gjøres for å dempe et NTP-forsterkning DDoS-angrep. Som ofte ble bemerket i denne rapporten, er “monlist” -kommandoen nøkkelen til å utnytte en NTP-server. Avhengig av hvilken server som brukes, er det mulig å installere en oppdatering som deaktiverer “monlist” -kommandoen. Det vanskelige med dette er at lappen må være 4.2.7 eller over. Mange NTP-servere er eldre servere og kan ikke støtte denne oppdateringen. Som sådan er det en annen løsning som må implementeres for å avbøte. På en offentlig vendt NTP-server anbefaler US-CERT at eldre systemer legger inn “noquery” -kommandoen til systemets ”begrens standard” -konfigurasjon. Hvis den kjøres riktig, vil den deaktivere “monlist” -kommandoen.

Det er fremdeles ikke nok med disse avbøtende taktikker. Avhengig av organisasjonens størrelse, kan det være nødvendig å ansette tredjeparts tjenester. Selv de sterkeste nettverkene kan bli ødelagte av et ordentlig distribuert botnetangrep. Siden dette er tilfelle, kan det være nødvendig med en tredjepartstjeneste som kan spre nettverkstrafikk. Den vil da legge serverbelastningen på mer enn bare det målrettede nettverket, og i stedet ta av noe av varmen slik at den forfalskede trafikken ikke alle når samme server..

Lær mer om DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map