NTP増幅DDoS攻撃


NTP増幅DDoS攻撃

ネットワークタイムプロトコル(NTP)は、現在インターネットで使用されている最も古いプロトコルの1つです。それはデラウェア大学のデビッドL.ミルズによって作成された1980年代半ばに最初に使用されました。インターネットのパイオニアとして広く認知されているミルズは、コンピュータの内部時計を同期させるインターネットプロトコル(IP)を作成しようとしました。.


NTPプロトコルは、その開始以来、多くの乱用と誤用を見てきました。これは間違いなく2002年までさかのぼることができます。最近では、特定のタイプの分散サービス拒否(DDoS攻撃)は、NTPプロトコルを使用しており、常に脅威になっています。のアイデアが NTP増幅 2014年以来、ハッカーはDDoSで無数のターゲットを無事に成功させてきました。.

NTP増幅DDoSに関連する最も重大なインシデントは2014年で、CloudflareサーバーがDDoS攻撃の直接の標的となり、会社のCEOさえも驚かせました(彼はこれを「醜い始まりの始まり」と呼びました)。当時、 400 Gbps, これはかつて最大のDDoS攻撃の1つでした。強力なDDoS保護で知られている会社を驚かせる攻撃の場合、これにより、NTP増幅がどれほど強力であるかをある程度理解できるはずです。.

そのため、セキュリティの専門家やセキュリティポリシーの責任者は、NTP増幅攻撃を理解することが重要です。攻撃は他のより強力な攻撃によって覆い隠されていますが、それでも非常に脅威です。この入門書を読み終える頃には、NTP増幅DDoS攻撃を理解するだけでなく、それを防御することもできます。.

NTP増幅攻撃とは?

簡単に言えば、NTP増幅DDoS攻撃は、パブリックネットワークタイムプロトコルサーバーを悪用して、ボットネットでターゲットを過負荷にします。初心者にとって、ボットネットはマシンのセットです(「ゾンビ”)DDoS攻撃で使用されます。それらは、コマンドアンドコントロール(C2)サーバーを使用して攻撃者によって制御され、それらの多数を使用してターゲットをオーバーロードします。 NTP増幅の場合、 DDoS ユーザーデータグラムプロトコル(UDP)を介して発生します。 UDPは、パケットを送信するための応答(TCP / IP 3方向SYN-SYN / ACK-ACKハンドシェイクなど)を必要としません。このため、サーバーまたはネットワークをオフラインにするサービス拒否(DoS)状況を作成する方が簡単です。.

Network Time Protocolの設計上の欠陥により、NTP増幅攻撃が可能です。 NTPには、システム管理者が接続されたクライアントのトラフィック数を確認できるようにする固有の監視サービスがあります。攻撃者は、「get monlist」コマンドを使用して、この監視サービスの機能を利用して、自分のアドレスを被害者のアドレスになりすますことができます。参考までに、「monlist」を使用すると、管理者は約600の最新のクライアントをサーバーに接続することができます。.

最終的に起こるのは UDP トラフィックによりサーバーが過負荷になり、サーバーが操作不能になります。管理者は、すべてのトラフィックを正当なユーザーに属していると見なしているため、賢明ではありません。.

これは簡単な概要ですが、NTP DDoS攻撃を段階的に理解する必要があります。そうして初めて、サーバーを担当する個人は、サーバーに対する防御方法を学ぶことができます.

NTP増幅攻撃の仕組み?

  • 攻撃者は、現在利用可能な多くの方法でボットネットを形成します(さまざまなデバイスをマルウェアに感染させることが最も可能性の高いオプションです).
  • 次に、攻撃者は公的に利用可能なNTPサーバーを見つけ、正当なものとして受け入れるIPアドレスを決定します.
  • このIPアドレスを使用して、攻撃者はボットネットゾンビマシンによって送信される偽装UDPパケットを作成します。各UDPパケットは「get monlist」コマンドでロードされます.
  • その後、ボットネットはUDPパケットの送信を開始し、悪意のあるトラフィックの絶え間ない流入の組み合わせのおかげで、NTPサーバーは膨大な量の「get monlist」コマンドに応答し始めます.
  • NTPサーバーは、各不正なUDPパケットに応答しようとする際にすぐに圧倒されます.
  • 被害者はオフラインでノックされ、正当なトラフィックは通過できません.

NTP増幅攻撃を軽減する方法?

との不幸な現実 NTP増幅攻撃 アイアンクラッドのソリューションはほとんどないということです。これの多くはプロトコルの時代に関係しています。古いプロトコルは、1980年代に存在する脅威がそれ以来指数関数的に増加しているため、より大規模に悪用される傾向があります。古いコンピュータを原始的なテクノロジーのように見せかける処理能力を持つコンピュータがあります。 1990年代半ばにインターネットが公開されたとき、今日のような携帯電話のアイデアは、サイエンスフィクションと見なされます。他のすべてのスマートデバイスがモノのインターネットに接続しているため、ボットネットの作成はこれまでになく簡単になりました.

ただし、NTP増幅DDoS攻撃を緩和するためにできることはいくつかあります。このレポート全体で頻繁に言及されたように、「monlist」コマンドは、NTPサーバーを活用するための鍵となります。使用するサーバーによっては、「monlist」コマンドを無効にするパッチをインストールすることが可能です。これに関するトリッキーなことは、パッチが4.2.7以上でなければならないということです。多くのNTPサーバーはレガシーサーバーであり、このパッチをサポートできません。そのため、緩和のために実装する必要がある別の回避策があります。公衆向けNTPサーバーでは、US-CERTはレガシーシステムが「noquery」コマンドを「デフォルトの制限」システム構成に入力することを推奨しています。正しく実行されると、「monlist」コマンドが無効になります.

これらの緩和策はまだ十分ではないかもしれません。組織の規模によっては、サードパーティのサービスを採用する必要がある場合があります。最強のネットワークでさえ、適切に配置されたボットネット攻撃によって障害を引き起こす可能性があります。そのため、ネットワークトラフィックを分散できるサードパーティのサービスが必要になる場合があります。次に、対象のネットワークだけでなくサーバーの負荷をかけ、代わりに熱を奪って、スプーフィングされたトラフィックがすべて同じサーバーに到達しないようにします。.

DDoSの詳細

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map