NTP 증폭 DDoS 공격


NTP 증폭 DDoS 공격

NTP (Network Time Protocol)는 오늘날 인터넷에서 여전히 사용되는 가장 오래된 프로토콜 중 하나입니다. 1980 년대 중반 델라웨어 대학의 데이비드 L. 밀스 (David L. Mills)가 처음으로 사용했습니다. 인터넷 개척자로 널리 알려진 Mills는 컴퓨터의 내부 시계를 동기화하는 인터넷 프로토콜 (IP)을 만들려고했습니다..


NTP 프로토콜은 처음부터 많은 남용과 오용을 보았습니다. 이것은 아마도 2002 년으로 거슬러 올라갈 수 있습니다. 최근에는 특정 유형의 분산 서비스 거부 (DDoS 공격NTP 프로토콜을 사용하는)는 항상 위협이되고 있습니다. 비록 NTP 증폭 2014 년 이후 해커들은 DDoS의 수많은 목표를 성공적으로 달성했습니다..

NTP 증폭 DDoS와 관련한 가장 중요한 사건은 2014 년에 Cloudflare 서버가 회사의 CEO조차도 놀라게 한 DDoS 공격의 대상이되었습니다 (그는“미운 일이 시작될 것”이라고 함). 당시에 400Gbps, 이것은 가장 큰 DDoS 공격 중 하나였습니다. 강력한 DDoS 보호로 유명한 회사를 놀라게하려는 공격은 NTP 증폭이 얼마나 강력한 지에 대한 아이디어를 제공합니다..

이 경우 보안 정책을 담당하는 보안 전문가 및 리더는 NTP 증폭 공격을 이해하는 것이 중요합니다. 다른 강력한 공격으로 인해 공격이 어두워졌지만 여전히 위협이됩니다. 이 입문서를 읽었을 때 NTP 증폭 DDoS 공격을 이해했을뿐만 아니라 방어 할 수도 있습니다..

NTP 증폭 공격이란 무엇입니까?

간단히 말해 NTP 증폭 DDoS 공격은 퍼블릭 Network Time Protocol 서버를 활용하여 봇넷으로 대상에 과부하를가합니다. 시작되지 않은 경우 봇넷은 일련의 머신 (좀비”) DDoS 공격에 사용됩니다. 이들은 공격자가 C2 (Command-and-Control) 서버를 사용하여 제어하며 많은 수를 사용하여 대상을 오버로드합니다. NTP 증폭의 경우 DDoS UDP (User Datagram Protocol)를 통해 발생합니다. UDP는 패킷을 보내기 위해 TCP / IP 3 방향 SYN-SYN / ACK-ACK 핸드 셰이크와 같은 응답을 요구하지 않습니다. 이러한 이유로 서버 나 네트워크를 오프라인 상태로 만드는 서비스 거부 (DoS) 상황을 만드는 것이 더 쉽습니다..

NTP 증폭 공격은 네트워크 시간 프로토콜 설계의 결함으로 인해 가능합니다. NTP에는 시스템 관리자가 연결된 클라이언트의 트래픽 수를 확인할 수있는 고유 한 모니터링 서비스가 있습니다. 공격자는 “get monlist”명령을 사용하여이 모니터링 서비스의 기능을 활용하여 자신의 주소를 피해자의 주소로 위장 할 수 있습니다. 참고로, “monlist”는 관리자가 대략 600 개의 최신 클라이언트를 서버에 연결할 수있게합니다..

결국 일어나는 일은 UDP 트래픽은 서버에 과부하를 일으켜 서버를 작동 불가능하게 만듭니다. 모든 트래픽이 합법적 인 사용자에게 속하는 것으로 간주되므로 관리자는 더 현명하지 않습니다..

이것은 간단한 개요이지만 NTP DDoS 공격을 단계별로 이해해야합니다. 그래야만 서버를 담당하는 개인이 서버를 방어하는 방법을 배울 수 있습니다.

NTP 증폭 공격은 어떻게 작동합니까?

  • 위협 행위자는 오늘날 사용 가능한 많은 방법을 통해 봇넷을 형성합니다 (악성 프로그램으로 다양한 장치를 감염시키는 것이 가장 가능성이 높은 옵션입니다).
  • 그런 다음 공격자는 공개적으로 사용 가능한 NTP 서버를 찾고 합법적 인 것으로 받아 들일 IP 주소를 결정합니다..
  • 이 IP 주소를 사용하여 위협 행위자는 스푸핑 된 UDP 패킷을 만들어 봇넷 좀비 머신에서 전송합니다. 각 UDP 패킷은 “get monlist”명령으로로드됩니다.
  • 봇넷은 UDP 패킷 전송을 시작하고, 악성 트래픽의 지속적인 유입으로 NTP 서버는 엄청난 양의 “get monlist”명령에 응답하기 시작합니다..
  • NTP 서버는 조작 된 각 UDP 패킷에 응답하려고 할 때 빠르게 압도됩니다..
  • 피해자가 오프라인에서 노크되고 합법적 인 트래픽이 통과 할 수 없습니다.

NTP 증폭 공격은 어떻게 완화됩니까??

불행한 현실 NTP 증폭 공격 철제 용액이 거의 없다는 것입니다. 이것의 많은 부분이 프로토콜의 시대와 관련이 있습니다. 이전 프로토콜은 1980 년대에 존재하는 위협이 그 이후로 기하 급수적으로 증가했기 때문에 대규모로 악용되기 쉽습니다. 우리는 오래된 컴퓨터를 원시 기술처럼 보이게하는 처리 능력을 가진 컴퓨터를 보유하고 있습니다. 1990 년대 중반 인터넷이 공개되었을 때 오늘날 우리와 같은 휴대 전화 아이디어는 공상 과학 소설로 간주됩니다. 사물 인터넷에 연결된 다른 스마트 기기를 사용하면 봇넷 생성이 그 어느 때보 다 쉬워집니다.

그러나 NTP 증폭 DDoS 공격을 완화하기 위해 수행 할 수있는 작업이 있습니다. 이 보고서에서 자주 언급했듯이“monlist”명령은 NTP 서버를 이용하는 데 중요합니다. 사용 된 서버에 따라 “monlist”명령을 비활성화하는 패치를 설치할 수 있습니다. 까다로운 점은 패치가 4.2.7 이상이어야한다는 것입니다. 많은 NTP 서버는 레거시 서버이며이 패치를 지원할 수 없습니다. 따라서 완화를 위해 구현해야하는 또 다른 해결 방법이 있습니다. 공용 NTP 서버에서 US-CERT는 레거시 시스템이 “noquery”명령을 “restrict default”시스템 구성에 입력하도록 권장합니다. 제대로 실행되면 “monlist”명령이 비활성화됩니다.

이러한 완화 전략으로는 여전히 충분하지 않을 수 있습니다. 조직의 규모에 따라 타사 서비스를 사용해야 할 수도 있습니다. 제대로 구축 된 봇넷 공격으로 가장 강력한 네트워크조차 무너질 수 있습니다. 이 경우 네트워크 트래픽을 분산시킬 수있는 타사 서비스가 필요할 수 있습니다. 그런 다음 대상 네트워크 이상으로 서버 부하를 가하고 대신 스푸핑 된 트래픽이 모두 동일한 서버에 도달하지 않도록 약간의 열을가합니다..

DDoS에 대해 더 알아보기

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map