Attaque DDoS d’amplification NTP


Attaque DDoS d’amplification NTP

Le Network Time Protocol (NTP) est l’un des plus anciens protocoles encore en usage sur Internet aujourd’hui. Il a été utilisé pour la première fois au milieu des années 1980 lorsqu’il a été créé par David L. Mills de l’Université du Delaware. Mills, qui est largement reconnu comme un pionnier d’Internet, a cherché à créer un protocole Internet (IP) qui synchronise l’horloge interne d’un ordinateur.


Le protocole NTP a connu de nombreux abus et abus depuis sa création. On peut sans doute remonter à l’année 2002. Plus récemment, un type particulier de déni de service distribué (Attaque DDoS), qui utilise le protocole NTP, est devenue une menace omniprésente. Bien que l’idée de Amplification NTP n’est pas nouveau, depuis l’année 2014, les pirates ont réussi avec succès d’innombrables cibles DDoS.

L’incident le plus important impliquant un DDoS d’amplification NTP a eu lieu en 2014, où les serveurs Cloudflare ont été directement ciblés par une attaque DDoS qui a alarmé même le PDG de la société (il l’a appelé «le début des choses laides à venir»). À l’époque, à 400 Gbit / s, il s’agissait autrefois de la plus grande attaque DDoS jamais réalisée. Pour qu’une attaque surprenne une entreprise connue pour sa forte protection DDoS, cela devrait vous donner une idée de la puissance de l’amplification NTP..

Comme c’est le cas, il est vital pour les professionnels de la sécurité et les responsables de la politique de sécurité de comprendre les attaques d’amplification NTP. Bien que l’attaque ait été éclipsée par d’autres attaques plus puissantes, c’est toujours une menace. Lorsque vous aurez fini de lire cette introduction, vous comprendrez non seulement une attaque DDoS d’amplification NTP, mais vous pourrez également vous défendre contre celle-ci..

Qu’est-ce qu’une attaque d’amplification NTP?

Une attaque DDoS d’amplification NTP, en termes simples, exploite les serveurs publics Network Time Protocol pour surcharger une cible avec un botnet. Pour les non-initiés, un botnet est un ensemble de machines (appelées «des morts-vivants») Utilisés dans une attaque DDoS. Ils sont contrôlés par l’attaquant à l’aide d’un serveur de commande et de contrôle (C2) et utilisent leur grand nombre pour surcharger une cible. Dans le cas d’une amplification NTP, le DDoS se produit via le protocole UDP (User Datagram Protocol). UDP ne nécessite aucune réponse (comme la négociation TCP / IP à trois voies SYN-SYN / ACK-ACK) pour envoyer des paquets. Pour cette raison, il est plus facile de créer une situation de déni de service (DoS) qui met un serveur ou un réseau hors ligne.

L’attaque d’amplification NTP est possible en raison d’une faille dans la conception du Network Time Protocol. NTP possède un service de surveillance inhérent qui permet aux administrateurs système de vérifier le nombre de trafics des clients connectés. À l’aide de la commande «get monlist», un attaquant peut exploiter les capacités de ce service de surveillance pour usurper son adresse en celle de la victime. Pour référence, «monlist» permet à un administrateur de voir environ 600 des clients les plus récents pour se connecter au serveur.

Ce qui se passe finalement, c’est UDP le trafic surcharge le serveur et le rend inutilisable. L’administrateur n’est pas plus sage car il considère que tout le trafic appartient à un utilisateur légitime.

Bien qu’il s’agisse d’un bref aperçu, il est nécessaire de comprendre étape par étape l’attaque NTP DDoS. Ce n’est qu’alors que les responsables de serveurs apprendront à se défendre.

Comment fonctionne une attaque d’amplification NTP?

  • Un acteur menaçant forme un botnet grâce aux nombreuses méthodes disponibles aujourd’hui (infecter divers appareils avec des logiciels malveillants est l’option la plus probable).
  • L’attaquant trouve alors un serveur NTP accessible au public et détermine une adresse IP qu’il acceptera comme légitime.
  • À l’aide de cette adresse IP, l’acteur de la menace crée des paquets UDP usurpés à envoyer par les machines zombies du botnet. Chaque paquet UDP est chargé avec la commande “get monlist”.
  • Le botnet commence alors à envoyer les paquets UDP, et grâce à la combinaison de l’afflux constant de trafic malveillant, le serveur NTP commence à répondre à une énorme quantité de commandes «get monlist».
  • Le serveur NTP devient rapidement submergé en essayant de répondre à chaque paquet UDP mal formé.
  • La victime est mise hors ligne et aucun trafic légitime ne peut passer.

Comment une attaque d’amplification NTP est-elle atténuée?

La triste réalité avec Attaques d’amplification NTP c’est qu’il y a très peu de solutions à toute épreuve. Cela dépend en grande partie de l’âge du protocole. Les protocoles plus anciens sont susceptibles d’être exploités à plus grande échelle simplement parce que les menaces présentes dans les années 80 se sont multipliées de façon exponentielle depuis lors. Nous avons des ordinateurs avec une puissance de traitement qui fait que les ordinateurs anciens ressemblent à une technologie primitive. Lorsque l’Internet est devenu public au milieu des années 1990, l’idée de téléphones cellulaires comme ceux que nous avons aujourd’hui était considérée comme de la science-fiction. Avec d’autres appareils intelligents qui se connectent tous à l’Internet des objets, la création de réseaux de zombies est plus facile que jamais.

Cependant, certaines mesures peuvent être prises pour atténuer une attaque DDoS d’amplification NTP. Comme cela a été noté fréquemment tout au long de ce rapport, la commande «monlist» est la clé pour exploiter un serveur NTP. Selon le serveur utilisé, il est possible d’installer un patch qui désactive la commande «monlist». La chose délicate avec cela est que le patch doit être 4.2.7 ou supérieur. De nombreux serveurs NTP sont des serveurs hérités et ne peuvent pas prendre en charge ce correctif. En tant que tel, il existe une autre solution de contournement qui doit être mise en œuvre pour l’atténuation. Sur un serveur NTP public, US-CERT recommande aux systèmes hérités de saisir la commande «noquery» dans la configuration système «restreindre par défaut». S’il est exécuté correctement, il désactivera la commande «monlist».

Ces tactiques d’atténuation pourraient ne pas suffire. Selon la taille de votre organisation, il peut être nécessaire d’employer des services tiers. Même les réseaux les plus puissants peuvent être paralysés par une attaque de botnet correctement déployée. Comme c’est le cas, un service tiers qui peut disperser le trafic réseau peut être nécessaire. Il mettra alors la charge du serveur sur plus que le réseau ciblé, et supprimera une partie de la chaleur afin que le trafic falsifié n’atteigne pas tous le même serveur.

En savoir plus sur les DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me