Ataque DDoS de amplificação NTP


Ataque DDoS de amplificação NTP

O Network Time Protocol (NTP) é um dos protocolos mais antigos ainda em uso na Internet atualmente. Foi usado pela primeira vez em meados da década de 1980, quando foi criado por David L. Mills, da Universidade de Delaware. Mills, amplamente reconhecido como pioneiro da Internet, procurou criar um protocolo de Internet (IP) que sincronizasse o relógio interno de um computador.


O protocolo NTP sofreu muitos abusos e uso indevido desde a sua criação. É possível que isso possa ser rastreado até o ano 2002. Em tempos mais recentes, um tipo específico de negação de serviço distribuída (Ataque DDoS), que usa o protocolo NTP, tornou-se uma ameaça sempre presente. Embora a ideia de Amplificação NTP não é novidade, desde o ano de 2014, os hackers conseguiram inúmeros alvos com DDoS.

O incidente mais significativo envolvendo um DDoS de amplificação de NTP foi em 2014, onde os servidores Cloudflare foram diretamente alvejados por um ataque de DDoS que alarmou até o CEO da empresa (ele chamou de “o começo das coisas feias que estão por vir”). Na época, em 400 Gbps, esse foi um dos maiores ataques DDoS de todos os tempos. Para que um ataque surpreenda uma empresa conhecida por uma forte proteção contra DDoS, isso deve lhe dar uma idéia de quão poderosa a amplificação NTP pode ser.

Nesse caso, é vital que os profissionais e líderes de segurança encarregados da política de segurança entendam os ataques de amplificação de NTP. Embora o ataque tenha sido ofuscado por outros ataques mais poderosos, ainda é uma ameaça. Quando você terminar de ler este iniciador, você não apenas compreenderá um ataque DDoS de amplificação NTP, mas também poderá se defender dele.

O que é um ataque de amplificação NTP?

Um ataque DDoS de amplificação NTP, de maneira simples, explora servidores públicos do Network Time Protocol para sobrecarregar um alvo com uma botnet. Para os não iniciados, uma botnet é um conjunto de máquinas (chamado “zumbis”) Que são usados ​​em um ataque DDoS. Eles são controlados pelo invasor usando um servidor de Comando e Controle (C2) e usam seus grandes números para sobrecarregar um destino. No caso de uma amplificação NTP, o DDoS ocorre através do UDP (User Datagram Protocol). O UDP não requer nenhuma resposta (como o handshake de três vias SYN-SYN / ACK-ACK TCP / IP) para enviar pacotes. Por esse motivo, é mais fácil criar uma situação de negação de serviço (DoS) que derruba um servidor ou rede offline.

O ataque de amplificação NTP é possível devido a uma falha no design do Network Time Protocol. O NTP possui um serviço de monitoramento inerente que permite aos administradores de sistemas verificar as contagens de tráfego dos clientes conectados. Usando o comando “get monlist”, um invasor pode aproveitar as habilidades desse serviço de monitoramento para falsificar seu endereço e o endereço da vítima. Para referência, “monlist” permite que um administrador veja aproximadamente 600 dos clientes mais recentes para se conectar ao servidor.

O que eventualmente acontece é a UDP o tráfego sobrecarrega o servidor e o torna inoperante. O administrador não é mais sábio, pois vê todo o tráfego como pertencendo a um usuário legítimo.

Embora esta seja uma breve visão geral, é necessário entender o ataque NTP DDoS passo a passo. Somente então as pessoas encarregadas dos servidores aprenderão como se defender.

Como funciona um ataque de amplificação NTP?

  • Um agente de ameaça forma uma botnet através dos muitos métodos disponíveis atualmente (infectar vários dispositivos com malware é a opção mais provável).
  • O invasor encontra um servidor NTP disponível ao público e determina um endereço IP que ele aceitará como legítimo.
  • Usando esse endereço IP, o agente de ameaças cria pacotes UDP falsificados para serem enviados pelas máquinas zumbis de botnets. Cada pacote UDP é carregado com o comando “get monlist”.
  • A botnet começa a enviar os pacotes UDP e, graças à combinação do fluxo constante de tráfego malicioso, o servidor NTP começa a responder a uma enorme quantidade de comandos “get monlist”.
  • O servidor NTP rapidamente fica sobrecarregado ao tentar responder a cada pacote UDP malformado.
  • A vítima é desconectada e qualquer tráfego legítimo não consegue passar.

Como é mitigado um ataque de amplificação NTP?

A infeliz realidade com Ataques de amplificação NTP é que existem muito poucas soluções de ferro. Muito disso tem a ver com a idade do protocolo. Protocolos mais antigos tendem a ser explorados em maior escala simplesmente porque as ameaças presentes nos anos 80 se multiplicaram exponencialmente desde então. Temos computadores com poder de processamento que faz com que os computadores antigos pareçam tecnologia primitiva. Quando a Internet se tornou pública em meados dos anos 90, a idéia de telefones celulares como os que temos hoje seria considerada ficção científica. Com outros dispositivos inteligentes todos conectados à Internet das Coisas, a criação de botnet é mais fácil do que nunca.

No entanto, existem algumas coisas que podem ser feitas para mitigar um ataque DDoS de amplificação NTP. Como foi observado com freqüência ao longo deste relatório, o comando “monlist” é essencial para explorar um servidor NTP. Dependendo do servidor usado, é possível instalar um patch que desativa o comando “monlist”. O mais complicado é que o patch deve ser 4.2.7 ou superior. Muitos servidores NTP são servidores herdados e não podem suportar esse patch. Como tal, há outra solução alternativa que deve ser implementada para mitigação. Em um servidor NTP voltado para o público, o US-CERT recomenda que os sistemas legados insiram o comando “noquery” na configuração do sistema “restringir o padrão”. Se executado corretamente, desabilitará o comando “monlist”.

Essas táticas de mitigação ainda podem não ser suficientes. Dependendo do tamanho da sua organização, pode ser necessário contratar serviços de terceiros. Até as redes mais fortes podem ser prejudicadas por um ataque de botnet implantado corretamente. Nesse caso, pode ser necessário um serviço de terceiros que possa espalhar o tráfego da rede. Em seguida, ele coloca a carga do servidor em mais do que apenas a rede de destino e retira parte do calor para que o tráfego falsificado não atinja o mesmo servidor.

Saiba mais sobre DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map