Serangan DDoS Amplifikasi NTP


Serangan DDoS Amplifikasi NTP

Protokol Masa Rangkaian (NTP) adalah salah satu protokol tertua yang masih digunakan di internet hari ini. Ia pertama kali digunakan pada pertengahan 1980-an ketika ia diciptakan oleh David L. Mills dari University of Delaware. Mills, yang diiktiraf secara meluas sebagai pelopor internet, berusaha membuat protokol internet (IP) yang menyegerakkan jam dalaman komputer.


Protokol NTP telah menyaksikan banyak penyalahgunaan dan penyalahgunaan sejak awal. Ini boleh dibuktikan sejak tahun 2002. Sejak kebelakangan ini, jenis Penyaluran-Penolakan-Perkhidmatan yang diedarkan (Serangan DDoS), yang menggunakan protokol NTP, telah menjadi ancaman yang selalu ada. Walaupun idea untuk Penguatan NTP bukanlah perkara baru, sejak tahun 2014, penggodam telah berjaya mencapai sasaran DDoS yang tidak terhitung jumlahnya.

Kejadian yang paling ketara yang melibatkan penguatan NTP DDoS adalah pada tahun 2014, di mana pelayan Cloudflare secara langsung disasarkan oleh serangan DDoS yang bahkan mengejutkan CEO syarikat (dia menyebutnya sebagai “permulaan hal-hal buruk yang akan datang”). Pada masa itu, di 400 Gbps, ini pernah menjadi serangan DDoS terbesar yang pernah ada. Agar serangan mengejutkan syarikat yang terkenal dengan perlindungan DDoS yang kuat, ini akan memberi anda idea betapa kuatnya penguatan NTP.

Oleh kerana ini, adalah mustahak bagi profesional keselamatan dan pemimpin yang bertanggungjawab terhadap polisi keselamatan untuk memahami serangan penguat NTP. Walaupun serangan itu telah dibayangi oleh serangan lain yang lebih kuat, ia masih merupakan ancaman. Pada masa anda selesai membaca buku asas ini, anda tidak hanya akan memahami serangan DDoS penguat NTP, tetapi juga dapat mempertahankannya.

Apa itu Serangan Penguat NTP?

Serangan DTP penguat NTP, secara sederhana, mengeksploitasi pelayan Protokol Jaringan Masa awam untuk membebani sasaran dengan botnet. Bagi yang belum tahu, botnet adalah sekumpulan mesin (disebut “zombi“) Yang digunakan dalam serangan DDoS. Mereka dikendalikan oleh penyerang menggunakan pelayan Command-and-Control (C2) dan menggunakan sejumlah besar mereka untuk membebani sasaran. Sekiranya penguat NTP, DDoS berlaku melalui User Datagram Protocol (UDP). UDP tidak memerlukan sebarang tindak balas (seperti jabat tangan SYN-SYN / ACK-ACK tiga arah TCP / IP) untuk menghantar paket. Atas sebab ini, lebih mudah untuk membuat situasi Denial-of-Service (DoS) yang mengetuk pelayan atau rangkaian di luar talian.

Serangan penguatan NTP mungkin berlaku kerana terdapat kekurangan dalam reka bentuk Network Time Protocol. NTP mempunyai perkhidmatan pemantauan yang melekat yang membolehkan sysadmin memeriksa jumlah lalu lintas klien yang bersambung. Dengan menggunakan perintah “dapatkan monlist”, penyerang dapat memanfaatkan kemampuan perkhidmatan pemantauan ini untuk memalsukan alamat mereka menjadi milik mangsa. Sebagai rujukan, “monlist” membolehkan pentadbir melihat kira-kira 600 pelanggan terbaru untuk menyambung ke pelayan.

Apa yang akhirnya berlaku adalah UDP lalu lintas membebani pelayan dan menjadikannya tidak dapat dikendalikan. Pentadbir tidak lebih bijak kerana mereka melihat semua lalu lintas milik pengguna yang sah.

Walaupun ini adalah gambaran keseluruhan ringkas, perlu memahami serangan NTP DDoS selangkah demi selangkah. Hanya dengan itu individu yang bertanggungjawab terhadap pelayan belajar bagaimana mempertahankannya.

Bagaimana Serangan Amplifikasi NTP Berfungsi?

  • Seorang pelaku ancaman membentuk botnet melalui banyak kaedah yang ada sekarang (menjangkiti pelbagai peranti dengan perisian hasad adalah pilihan yang paling mungkin).
  • Penyerang kemudian mencari pelayan NTP yang tersedia untuk umum dan menentukan alamat IP yang akan diterima sebagai sah.
  • Dengan menggunakan alamat IP ini, kraf pelaku ancaman telah menipu paket UDP untuk dihantar oleh mesin botnet zombie. Setiap paket UDP dimuat dengan perintah “get monlist”.
  • Botnet kemudian mula menghantar paket UDP, dan berkat gabungan aliran masuk lalu lintas berbahaya yang berterusan, pelayan NTP mula bertindak balas terhadap sejumlah besar perintah “dapatkan senarai”.
  • Pelayan NTP dengan cepat menjadi bingung dalam mencuba untuk membalas setiap paket UDP yang cacat.
  • Mangsa dilanggar di luar talian dan sebarang lalu lintas yang sah tidak dapat dilalui.

Bagaimana Serangan Amplifikasi NTP Dikurangkan?

Realiti malang dengan Serangan penguat NTP adalah bahawa terdapat sedikit penyelesaian ironclad. Banyak perkara ini berkaitan dengan usia protokol. Protokol lama terdedah kepada eksploitasi pada skala yang lebih besar hanya kerana ancaman yang ada pada tahun 1980-an telah berlipat ganda sejak itu. Kami mempunyai komputer dengan kekuatan pemprosesan yang menjadikan komputer lama kelihatan seperti teknologi primitif. Ketika internet menjadi terbuka pada pertengahan 1990-an, idea telefon bimbit seperti yang kita ada sekarang akan dianggap sebagai fiksyen sains. Dengan peranti pintar lain yang semuanya bersambung ke Internet-of-Things, pembuatan botnet lebih mudah daripada sebelumnya.

Namun, ada beberapa hal yang dapat dilakukan untuk mengurangi serangan DDoS penguatan NTP. Seperti yang sering diperhatikan dalam laporan ini, perintah “monlist” adalah kunci untuk memanfaatkan pelayan NTP. Bergantung pada pelayan yang digunakan, mungkin untuk memasang tambalan yang mematikan perintah “monlist”. Perkara yang sukar dengan ini adalah bahawa patch mestilah 4.2.7 atau lebih tinggi. Banyak pelayan NTP adalah pelayan lama dan tidak dapat menyokong patch ini. Oleh itu, ada jalan penyelesaian lain yang mesti dilaksanakan untuk mengurangkan. Pada pelayan NTP yang menghadap ke publik, US-CERT mengesyorkan sistem warisan memasukkan perintah “noquery” ke konfigurasi sistem “had lalai”. Jika dijalankan dengan betul, ia akan mematikan perintah “monlist”.

Taktik pengurangan ini mungkin masih belum mencukupi. Bergantung pada saiz organisasi anda, mungkin perlu menggunakan perkhidmatan pihak ketiga. Bahkan rangkaian terkuat dapat dilumpuhkan oleh serangan botnet yang digunakan dengan betul. Oleh kerana ini, perkhidmatan pihak ketiga yang dapat menyebarkan trafik rangkaian mungkin diperlukan. Ini kemudian akan meletakkan beban pelayan lebih dari sekadar rangkaian yang disasarkan, dan sebaliknya akan mematikan sedikit sehingga lalu lintas palsu tidak semuanya mencapai pelayan yang sama.

Ketahui lebih lanjut mengenai DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map