Amplificazione NTP DDoS Attack


Amplificazione NTP DDoS Attack

Il Network Time Protocol (NTP) è uno dei protocolli più antichi ancora oggi in uso su Internet. Fu usato per la prima volta a metà degli anni ’80 quando fu creato dall’Università del Delaware David L. Mills. Mills, che è ampiamente riconosciuto come un pioniere di Internet, ha cercato di creare un protocollo Internet (IP) che sincronizza l’orologio interno di un computer.


Il protocollo NTP ha subito molti abusi e abusi sin dal suo inizio. Ciò può essere probabilmente ricondotto al 2002. In tempi più recenti, un particolare tipo di Distributed-Denial-of-Service (Attacco DDoS), che utilizza il protocollo NTP, è diventata una minaccia sempre presente. Anche se l’idea di Amplificazione NTP non è una novità, dall’anno 2014 gli hacker hanno con successo innumerevoli obiettivi DDoS.

L’incidente più significativo che ha coinvolto un’amplificazione NTP DDoS è stato nel 2014, in cui i server Cloudflare sono stati presi di mira direttamente da un attacco DDoS che ha allarmato anche il CEO dell’azienda (lo ha definito “l’inizio di cose brutte a venire”). Al momento, a 400 Gbps, questo è stato una volta il più grande attacco DDoS di sempre. Affinché un attacco sorprenda un’azienda nota per la forte protezione DDoS, questo dovrebbe darti un’idea di quanto potente possa essere l’amplificazione NTP.

In questo caso, è fondamentale che i professionisti della sicurezza e i leader responsabili della politica di sicurezza comprendano gli attacchi di amplificazione NTP. Sebbene l’attacco sia stato oscurato da altri, attacchi più potenti, è ancora una minaccia. Quando avrai finito di leggere questo primer, non capirai semplicemente un attacco DDoS di amplificazione NTP, ma sarai anche in grado di difenderti.

Che cos’è un attacco di amplificazione NTP?

Un attacco DDoS di amplificazione NTP, in parole semplici, sfrutta i server pubblici Network Time Protocol per sovraccaricare un obiettivo con una botnet. Per chi non lo sapesse, una botnet è un insieme di macchine (chiamato “zombie“) Utilizzati in un attacco DDoS. Sono controllati dall’attaccante tramite un server Command-and-Control (C2) e usano i loro numeri elevati per sovraccaricare un bersaglio. Nel caso di un’amplificazione NTP, il DDoS si verifica tramite il protocollo UDP (User Datagram Protocol). UDP non richiede alcuna risposta (come l’handshake SYN-SYN / ACK-ACK a tre vie TCP / IP) per inviare i pacchetti. Per questo motivo, è più semplice creare una situazione Denial-of-Service (DoS) che mette offline un server o una rete.

L’attacco di amplificazione NTP è possibile a causa di un difetto nella progettazione del Network Time Protocol. NTP ha un servizio di monitoraggio intrinseco che consente agli amministratori di sistema di verificare il conteggio del traffico dei client connessi. Utilizzando il comando “get monlist”, un utente malintenzionato può sfruttare le capacità di questo servizio di monitoraggio per falsificare il proprio indirizzo come quello della vittima. Per riferimento, “monlist” consente a un amministratore di vedere circa 600 dei client più recenti per connettersi al server.

Quello che alla fine succede è il UDP il traffico sovraccarica il server e lo rende inutilizzabile. L’amministratore non è il più saggio in quanto vede tutto il traffico come appartenente a un utente legittimo.

Sebbene questa sia una breve panoramica, è necessario comprendere l’attacco DDoS NTP passo dopo passo. Solo così gli individui responsabili dei server possono imparare a difendersi da esso.

Come funziona un attacco di amplificazione NTP?

  • Un attore di minaccia forma una botnet attraverso i molti metodi disponibili oggi (infettare vari dispositivi con malware è l’opzione più probabile).
  • L’aggressore trova quindi un server NTP disponibile pubblicamente e determina un indirizzo IP che accetterà come legittimo.
  • Usando questo indirizzo IP, l’attore delle minacce crea pacchetti UDP falsificati da inviare dalle macchine zombi botnet. Ogni pacchetto UDP è caricato con il comando “get monlist”.
  • La botnet inizia quindi a inviare i pacchetti UDP e, grazie alla combinazione del flusso costante di traffico dannoso, il server NTP inizia a rispondere a un’enorme quantità di comandi “get monlist”.
  • Il server NTP viene rapidamente sopraffatto nel tentativo di rispondere a ciascun pacchetto UDP non valido.
  • La vittima viene buttata fuori linea e qualsiasi traffico legittimo non è in grado di attraversare.

Come viene mitigato un attacco di amplificazione NTP?

La sfortunata realtà con Attacchi di amplificazione NTP è che ci sono pochissime soluzioni corazzate. Molto di ciò ha a che fare con l’età del protocollo. I protocolli meno recenti sono soggetti a sfruttamento su larga scala semplicemente perché le minacce presenti negli anni ’80 si sono moltiplicate esponenzialmente da allora. Abbiamo computer con una potenza di elaborazione che fa sembrare i computer antichi una tecnologia primitiva. Quando Internet è diventato pubblico a metà degli anni ’90, l’idea di telefoni cellulari come quelli che abbiamo oggi sarebbe considerata fantascienza. Con altri dispositivi intelligenti tutti connessi all’Internet of Things, la creazione di botnet è più semplice che mai.

Vi sono, tuttavia, alcune cose che possono essere fatte per mitigare un attacco DDoS di amplificazione NTP. Come è stato spesso notato in questo rapporto, il comando “monlist” è la chiave per sfruttare un server NTP. A seconda del server utilizzato, è possibile installare una patch che disabilita il comando “monlist”. La cosa difficile con questo è che la patch deve essere 4.2.7 o successiva. Molti server NTP sono server legacy e non possono supportare questa patch. Pertanto, esiste un’altra soluzione alternativa che deve essere implementata per la mitigazione. Su un server NTP rivolto al pubblico, US-CERT consiglia ai sistemi legacy di immettere il comando “noquery” per la configurazione del sistema “Limita impostazione predefinita”. Se eseguito correttamente, disabiliterà il comando “monlist”.

Queste tattiche di mitigazione potrebbero non essere ancora sufficienti. A seconda delle dimensioni dell’organizzazione, potrebbe essere necessario utilizzare servizi di terze parti. Anche le reti più potenti possono essere paralizzate da un attacco botnet correttamente distribuito. In questo caso, potrebbe essere necessario un servizio di terze parti in grado di diffondere il traffico di rete. Quindi caricherà il server su più della semplice rete di destinazione e toglierà un po ‘di calore in modo che il traffico contraffatto non raggiunga tutti lo stesso server.

Ulteriori informazioni su DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map