Amplifikace NTP DDoS Attack


Amplifikace NTP DDoS Attack

Síťový časový protokol (NTP) je jedním z nejstarších protokolů, které se na internetu stále používají. Poprvé byl použit v polovině 80. let, kdy byl vytvořen Davidem L. Millsem z University of Delaware. Mills, který je široce uznávaným průkopníkem internetu, se snažil vytvořit internetový protokol (IP), který synchronizuje vnitřní hodiny počítače.


Protokol NTP zaznamenal od svého vzniku velké množství zneužívání a zneužívání. Lze to pravděpodobně vysledovat až do roku 2002. V nedávné době se jedná o konkrétní typ služby Distribuované odmítnutí služby (Útok DDoS), který používá protokol NTP, se stal stále přítomnou hrozbou. I když myšlenka NTP amplifikace není nic nového, od roku 2014 mají hackeři s sebou úspěšně DDoS bezpočet cílů.

Nejvýznamnější incident týkající se NTP zesílení DDoS byl v roce 2014, kdy servery Cloudflare byly přímo zaměřeny útokem DDoS, který znepokojil i generálního ředitele společnosti (označil jej za „začátek ošklivých věcí“). V té době, v 400 Gbps, toto byl kdysi jeden z největších útoků DDoS vůbec. Pro útok, který překvapí společnost známou pro silnou ochranu DDoS, by vám to mělo poskytnout představu o tom, jak silné může být zesílení NTP..

V tomto případě je nezbytné, aby odborníci v oblasti bezpečnosti a vedoucí představitelé odpovědní za bezpečnostní politiku rozuměli útokům na zesílení NTP. Přestože byl útok zastíněn jinými silnějšími útoky, stále je to hrozba. Než dokončíte čtení tohoto primeru, nebudete rozumět pouze útoku DDoS na zesílení NTP, ale budete se proti němu také moci bránit.

Co je NTP Amplification Attack?

Útok DDoS na zesílení NTP jednoduše využívá veřejné servery Network Time Protocol k přetížení cíle botnetem. Pro nezasvěcené je botnet sadou strojů (nazývaných „zombie“), Které se používají při útoku DDoS. Jsou ovládány útočníkem pomocí serveru Command-and-Control (C2) a jejich velká čísla slouží k přetížení cíle. V případě NTP amplifikace, DDoS dochází prostřednictvím protokolu UDP (User Datagram Protocol). UDP nevyžaduje k odesílání paketů žádnou odpověď (například třícestný protokol TCP / IP SYN-SYN / ACK-ACK). Z tohoto důvodu je snazší vytvořit situaci Denial-of-Service (DoS), která srazí server nebo síť offline.

NTP amplifikační útok je možný kvůli chybě v designu Network Time Protocol. NTP má vlastní monitorovací službu, která umožňuje sysadminům kontrolovat přenosy připojených klientů. Pomocí příkazu „get monlist“ může útočník využít schopnosti této monitorovací služby, aby zkazila svou adresu na adresu oběti. Pro informaci, „monlist“ umožňuje správci vidět zhruba 600 nejnovějších klientů, kteří se připojují k serveru.

Co se nakonec stane, je UDP přenos přetíží server a učiní jej nefunkčním. Správce není moudřejší, protože vidí veškerý provoz jako vlastnictví legitimního uživatele.

I když se jedná o stručný přehled, je nutné krok za krokem pochopit útok NTP DDoS. Pouze tehdy se mohou jednotlivci odpovědní za servery naučit, jak se proti nim bránit.

Jak funguje útok NPL Amplification Attack?

  • Herce ohrožení vytváří botnet prostřednictvím mnoha dnes dostupných metod (nejpravděpodobnější možností je napadení různých zařízení malwarem).
  • Útočník poté najde veřejně dostupný server NTP a určí IP adresu, kterou bude akceptovat jako legitimní.
  • Při použití této adresy IP zpracoval účastník hrozby spoofed UDP pakety, které mají být zaslány zombie stroji botnet. Každý paket UDP je načten příkazem „get monlist“.
  • Botnet pak začne odesílat UDP pakety a díky kombinaci neustálého přílivu škodlivého provozu začne NTP server reagovat na obrovské množství příkazů „get monlist“.
  • Server NTP se rychle stane ohromen ve snaze reagovat na každý chybně formátovaný paket UDP.
  • Oběť je klepána offline a žádný legitimní provoz se nemůže dostat přes.

Jak je útok na zesílení NTP zmírněn?

Nešťastná realita s NTP amplifikační útoky je to, že existuje jen velmi málo ironických řešení. Hodně z toho souvisí s věkem protokolu. Starší protokoly jsou náchylné k vykořisťování ve větším měřítku jednoduše proto, že hrozby, které se vyskytují v 80. letech, se od té doby exponenciálně násobily. Máme počítače se zpracovatelským výkonem, díky kterému se staré počítače jeví jako primitivní technologie. Když byl internet v polovině 90. let veřejný, myšlenka na mobilní telefony, jako jsou ty, které máme dnes, by se považovala za sci-fi. S dalšími chytrými zařízeními, která se všechny připojují k Internetu, je vytváření botnetů snadnější než kdykoli předtím.

Existují však některé věci, které lze udělat pro zmírnění útoku DDoS na zesílení NTP. Jak bylo v této zprávě často uváděno, příkaz „monlist“ je klíčem k využití serveru NTP. V závislosti na použitém serveru je možné nainstalovat opravu, která zakáže příkaz „monlist“. Obtížná věc s tím je, že oprava musí být 4.2.7 nebo vyšší. Mnoho serverů NTP je starších serverů a nemůže tuto opravu podporovat. Jako takové existuje další řešení, které musí být implementováno pro zmírnění. Na veřejně orientovaném serveru NTP doporučuje US-CERT, aby starší systémy zadaly příkaz „noquery“ do konfigurace „omezit výchozí“. Pokud bude spuštěn správně, zakáže příkaz „monlist“.

Tato taktika zmírňování nemusí stále stačit. V závislosti na velikosti vaší organizace může být nutné využít služeb třetích stran. Dokonce i ty nejsilnější sítě mohou být zmrzačeny správně nasazeným útokem botnetu. V tomto případě může být nezbytná služba třetí strany, která může rozptýlit síťový provoz. Poté zavede zatížení serveru na více než jen cílenou síť a místo toho odvede část tepla, aby se veškerý provoz spoofed nedostal na stejný server..

Další informace o DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map