NTP amplifikacijos DDoS ataka


NTP amplifikacijos DDoS ataka

Tinklo laiko protokolas (NTP) yra vienas seniausių protokolų, vis dar naudojamų internete. Pirmą kartą jis buvo panaudotas devintojo dešimtmečio viduryje, kai jį sukūrė Delavero universiteto Davidas L. Millsas. Millsas, plačiai žinomas kaip interneto pradininkas, siekė sukurti interneto protokolą (IP), kuris sinchronizuotų vidinį kompiuterio laikrodį.


Nuo pat NTP protokolo sukūrimo buvo daug piktnaudžiaujama. Neabejotinai tai galima atsekti nuo 2002 metų. Pastaruoju metu tam tikros rūšies „paskirstytasis paslaugų teikimo atsisakymas“ (DDoS ataka), kuris naudoja NTP protokolą, tapo nuolatine grėsme. Nors idėja NTP amplifikacija nėra naujiena, nuo 2014 m. įsilaužėliai sėkmingai įvykdė daugybę DDoS taikinių.

Reikšmingiausias incidentas, susijęs su DTP stiprinimu NTP, buvo 2014 m., Kai „Cloudflare“ serveriai buvo tiesiogiai nukreipti į DDoS ataką, kuri sujaudino net bendrovės vadovą (jis tai pavadino „negražių dalykų pradžia“). Tuo metu, kai 400 Gbps, tai buvo kadaise didžiausias DDoS išpuolis. Kad išpuolis nustebintų kompaniją, žinomą dėl stiprios DDoS apsaugos, tai turėtų suteikti jums supratimo, koks gali būti galingas NTP stiprinimas.

Šiuo atveju saugumo profesionalai ir vadovai, atsakingi už saugumo politiką, turi suprasti NTP amplifikacijos išpuolius. Nors išpuolį užgožė kitos, galingesnės atakos, vis tiek tai kelia didelę grėsmę. Baigę skaityti šį pagrindą, jūs ne tik suprasite NTP sustiprinimo DDoS ataką, bet ir sugebėsite apsiginti nuo jos..

Kas yra NTP amplifikacijos ataka?

Paprasčiau tariant, NTP amplifikacijos DDoS ataka išnaudoja viešuosius tinklo laiko protokolo serverius, kad apkrautų taikinį robotu. Neinicijuotam robotų tinklui yra mašinų rinkinys (vadinamas „zombiai“), Kurie naudojami DDoS atakoje. Juos kontroliuoja užpuolikas, naudodamas „Command-and-Control“ (C2) serverį, ir jie naudoja didelius skaičius norėdami perkrauti taikinį. Jei yra NTP amplifikacija, DDoS įvyksta per vartotojo duomenų diagramos protokolą (UDP). Norint siųsti paketus, UDP nereikia jokio atsakymo (pvz., TCP / IP trijų krypčių SYN-SYN / ACK-ACK rankos paspaudimas). Dėl šios priežasties lengviau sukurti paslaugų neigimo (DoS-Service) situaciją, kuri nustumia serverį ar tinklą neprisijungus.

NTP amplifikacijos ataka yra įmanoma dėl tinklo laiko protokolo projektavimo spragos. NTP turi būdingą stebėjimo paslaugą, leidžiančią sisteminiams administratoriams tikrinti prijungtų klientų srautą. Naudodamas komandą „gauti monlistą“, užpuolikas gali panaudoti šios stebėjimo tarnybos galimybes apgaulingai nurodyti savo aukos adresą. Nuoroda: „monlist“ leidžia administratoriui pamatyti maždaug 600 naujausių klientų prisijungti prie serverio.

Kas galiausiai atsitinka, yra UDP srautas perkrauna serverį ir paverčia jį neveikiančiu. Administratorius nėra išmintingesnis, nes jie mato, kad visas srautas priklauso teisėtam vartotojui.

Nors tai yra trumpa apžvalga, būtina suprasti NTP DDoS ataką žingsnis po žingsnio. Tik tada asmenys, atsakingi už serverius, gali išmokti gintis nuo jo.

Kaip veikia NTP stiprintuvo ataka?

  • Grasinimo dalyvis formuoja robotų tinklą, naudodamas daugybę šiandien prieinamų metodų (greičiausia yra užkrėsti įvairius įrenginius kenkėjiška programa).
  • Tada užpuolikas suranda viešai prieinamą NTP serverį ir nustato IP adresą, kurį jis priims kaip teisėtą.
  • Naudodamas šį IP adresą grėsmės veikėjas suklastojo UDP paketus, kuriuos turi siųsti botnet zombių mašinos. Kiekvienas UDP paketas įkeliamas su komanda „gauti monlistą“.
  • Botnetas pradeda siųsti UDP paketus ir dėl nuolatinio kenksmingo srauto antplūdžio NTP serveris pradeda reaguoti į daugybę komandų „gauti monlistą“..
  • NTP serveris greitai pribloškia bandydamas atsakyti į kiekvieną netinkamai suformuotą UDP paketą.
  • Auka trankoma neprisijungus ir nepavyksta patekti į teisėtą eismą.

Kaip sušvelninamas NTP amplifikacijos išpuolis?

Nemaloni realybė su NTP amplifikacijos priepuoliai yra tai, kad labai mažų spalvų sprendimų yra labai mažai. Daug tai turi būti susiję su protokolo amžiumi. Senesni protokolai yra linkę eksploatuoti plačiau vien todėl, kad devintojo dešimtmečio grėsmės nuo to laiko išaugo eksponentiškai. Mes turime kompiuterius, kurių apdorojimo galia leidžia seniems kompiuteriams atrodyti kaip primityvioms technologijoms. Kai devintojo dešimtmečio viduryje internetas tapo viešas, mobiliųjų telefonų, tokių, kokius turime šiandien, idėja būtų laikoma mokslinė fantastika. Naudodamiesi visais išmaniaisiais įrenginiais, jungiančiais daiktų internetą, robotų tinklo kūrimą lengviau nei bet kada anksčiau.

Tačiau yra keletas dalykų, kuriuos galima padaryti siekiant sušvelninti NTP amplifikacijos DDoS ataką. Kaip dažnai buvo pažymėta šioje ataskaitoje, „monlist“ komanda yra pagrindinė priemonė norint naudoti NTP serverį. Priklausomai nuo naudojamo serverio, galima įdiegti pataisą, kuri išjungia komandą „monlist“. Keistas dalykas yra tai, kad pleistras turi būti 4.2.7 ar naujesnis. Daugelis NTP serverių yra pasenę serveriai ir negali palaikyti šio pataisos. Taigi, yra dar vienas sprendimas, kurį reikia įgyvendinti siekiant sušvelninti. Visuomeniniam NTP serveriui US-CERT rekomenduoja senas sistemas įvesti komandą „noquery“ į „apriboti numatytąją“ sistemos konfigūraciją. Tinkamai vykdant, jis išjungs komandą „monlist“.

Šios švelninimo taktikos vis tiek gali nepakakti. Atsižvelgiant į organizacijos dydį, gali tekti pasitelkti trečiųjų šalių paslaugas. Net ir stipriausi tinklai gali būti sugadinti tinkamai dislokuojant robotų tinklo ataką. Tokiu atveju gali prireikti trečiųjų šalių paslaugų, kurios gali išsklaidyti tinklo srautą. Tada serveris bus įkeltas ne tik į tikslinį tinklą, bet ir sunaudos dalį šilumos, kad apgaulingas srautas pasiektų ne tą patį serverį..

Sužinokite daugiau apie DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map