NTP pastiprināšanas DDoS uzbrukums


NTP pastiprināšanas DDoS uzbrukums

Tīkla laika protokols (NTP) ir viens no vecākajiem protokoliem, kas mūsdienās joprojām tiek izmantots internetā. Pirmoreiz to izmantoja 80. gadu vidū, kad to izveidoja Delavēras Universitātes Deivids L. Millss. Mills, kurš tiek plaši atzīts par interneta pionieri, centās izveidot interneta protokolu (IP), kas sinhronizētu datora iekšējo pulksteni.


NTP protokols kopš tā pirmsākumiem ir piedzīvojis daudz ļaunprātīgu izmantošanu. To neapšaubāmi var izsekot līdz 2002. gadam. Pēdējā laikā īpašs pakalpojuma izplatīšanas-atteikšanas pakalpojuma veids (DDoS uzbrukums), kas izmanto NTP protokolu, ir kļuvis par pastāvīgu draudu. Lai arī ideja par NTP pastiprināšana nav jauns, kopš 2014. gada hakeri ar to ir veiksmīgi veikuši neskaitāmus mērķus DDoS.

Visnozīmīgākais incidents, kas saistīts ar NTP pastiprināšanu DDoS, bija 2014. gadā, kad Cloudflare serverus tieši piemeklēja DDoS uzbrukums, kas satrauca pat uzņēmuma izpilddirektoru (viņš to sauca par “neglītu lietu sākumu”). Tajā laikā plkst 400 Gbps, tas savulaik bija lielākais DDoS uzbrukums. Lai uzbrukums pārsteigtu uzņēmumu, kas pazīstams ar spēcīgu DDoS aizsardzību, tam vajadzētu dot jums nelielu priekšstatu par to, cik spēcīga var būt NTP pastiprināšana..

Tā kā tas ir gadījumā, drošības profesionāļiem un vadītājiem, kas atbild par drošības politiku, ir svarīgi saprast NTP pastiprināšanas uzbrukumus. Lai arī uzbrukumu ir aizēnojuši citi, jaudīgāki uzbrukumi, tas joprojām ļoti apdraud. Kad esat pabeidzis lasīt šo grunti, jūs ne tikai sapratīsit NTP pastiprināšanas DDoS uzbrukumu, bet arī varēsit aizsargāties pret to.

Kas ir NTP pastiprināšanas uzbrukums?

Vienkārši izsakoties, NTP pastiprināšanas DDoS uzbrukums izmanto publiskos tīkla laika protokola serverus, lai pārslogotu mērķi ar robottīklu. Neinicializētam robottīklam ir mašīnu komplekts (saukts “zombiji”), Kas tiek izmantoti DDoS uzbrukumā. Uzbrucējs tos kontrolē, izmantojot komandu vadības un vadības (C2) serveri, un lielu skaitu izmanto mērķa pārslogošanai. NTP pastiprināšanas gadījumā DDoS notiek, izmantojot lietotāja datugrammas protokolu (UDP). UDP nav nepieciešama atbilde (piemēram, TCP / IP trīsceļu SYN-SYN / ACK-ACK rokasspiediens), lai nosūtītu paketes. Šī iemesla dēļ ir vieglāk izveidot pakalpojumu atteikuma (DoS) situāciju, kas bezsaistē pieklauvē serverim vai tīklam.

NTP pastiprināšanas uzbrukums ir iespējams, pateicoties tīkla laika protokola dizaina kļūdai. NTP ir raksturīgs uzraudzības pakalpojums, kas ļauj administratoriem pārbaudīt pievienoto klientu trafika daudzumu. Izmantojot komandu “get monlist”, uzbrucējs var izmantot šī uzraudzības dienesta spējas sagrozīt viņu adresi kā upura adresi. Uzziņai var minēt, ka “monlist” ļauj administratoram redzēt aptuveni 600 jaunāko klientu savienojumu ar serveri.

Kas galu galā notiek, ir UDP satiksme pārslogo serveri un padara to nederīgu. Administrators nav gudrāks, jo viņi uzskata, ka visa datplūsma pieder likumīgam lietotājam.

Lai gan tas ir īss pārskats, soli pa solim ir jāsaprot NTP DDoS uzbrukums. Tikai tad personas, kas atbild par serveriem, var iemācīties aizstāvēt pret to.

Kā darbojas NTP pastiprināšanas uzbrukums?

  • Draudu veicējs veido robottīklu, izmantojot daudzas mūsdienās pieejamās metodes (visticamākais variants ir dažādu ierīču inficēšana ar ļaunprātīgu programmatūru).
  • Pēc tam uzbrucējs atrod publiski pieejamu NTP serveri un nosaka IP adresi, kuru tas pieņems kā likumīgu.
  • Izmantojot šo IP adresi, draudu aktieris izkrāpa UDP paketes, kuras jānosūta robottīklu zombiju mašīnām. Katra UDP pakete tiek ielādēta ar komandu “get monlist”.
  • Pēc tam robottīkls sāk nosūtīt UDP paketes, un, pateicoties pastāvīga ļaunprātīgas datplūsmas pieplūduma kombinācijai, NTP serveris sāk reaģēt uz milzīgu daudzumu komandu “get monlist”..
  • NTP serveris ātri satriec, mēģinot reaģēt uz katru nepareizi veidotu UDP paketi.
  • Upuris tiek pieklauvēts bezsaistē, un jebkāda likumīga satiksme nespēj tikt cauri.

Kā tiek mazināts NTP pastiprināšanas uzbrukums?

Neveiksmīgā realitāte ar NTP pastiprināšanas uzbrukumi ir tas, ka ir ļoti maz ironclad risinājumu. Daudz tas ir saistīts ar protokola vecumu. Vecākiem protokoliem ir tendence uz plašāku izmantošanu tikai tāpēc, ka kopš tā laika 80. gados pastāvošie draudi ir eksponenciāli palielinājušies. Mums ir datori ar apstrādes jaudu, kas veciem datoriem liekas primitīvas tehnoloģijas. Kad deviņdesmito gadu vidū internets kļuva publisks, ideja par mobilajiem telefoniem, kāda ir mūsdienās, tiks uzskatīta par zinātnisko fantastiku. Izmantojot visas viedās ierīces, kurām ir savienojums ar lietu internetu, robottīklu izveidošana ir vienkāršāka nekā jebkad agrāk.

Tomēr ir dažas lietas, ko var darīt, lai mazinātu NTP pastiprināšanas DDoS uzbrukumu. Kā bieži tika atzīmēts šajā ziņojumā, NTP servera izmantošanā galvenā ir komanda “monlist”. Atkarībā no izmantotā servera ir iespējams instalēt ielāpu, kas atspējo komandu “monlist”. Veltīga lieta ir tas, ka plāksterim jābūt 4.2.7 vai jaunākam. Daudzi NTP serveri ir mantoti serveri un nevar atbalstīt šo ielāpu. Kā tāds ir vēl viens risinājums, kas jāievieš mazināšanai. Uz sabiedrībai paredzētu NTP serveri US-CERT iesaka mantotajām sistēmām ievadīt komandu “noquery” uz “ierobežot noklusējuma” sistēmas konfigurāciju. Ja tas tiek izpildīts pareizi, tas atspējo komandu “monlist”.

Ar šo mazināšanas taktiku joprojām var nepietikt. Atkarībā no jūsu organizācijas lieluma var būt nepieciešams izmantot trešo personu pakalpojumus. Pareizi izvērstu robottīklu uzbrukumu var sabojāt pat spēcīgākie tīkli. Šajā gadījumā var būt nepieciešams trešās puses pakalpojums, kas var izkliedēt tīkla trafiku. Pēc tam serveris tiks noslogots vairāk nekā tikai atlasītajā tīklā un tā vietā tiks noņemta daļa enerģijas, lai krāpnieciskā trafika nesasniegtu to pašu serveri.

Uzziniet vairāk par DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map