NTP-vahvistus DDoS Attack


NTP-vahvistus DDoS Attack

Verkkoaikaprotokolla (NTP) on yksi vanhimmista Internetissä edelleen käytössä olevista protokollista. Sitä käytettiin ensimmäisen kerran 1980-luvun puolivälissä, kun Delawaren yliopiston David L. Mills perusti sen. Mills, joka tunnetaan laajasti Internetin edelläkävijänä, yritti luoda Internet-protokollan (IP), joka synkronoi tietokoneen sisäisen kellon.


NTP-protokolla on nähnyt paljon väärinkäytöksiä ja väärinkäytöksiä sen perustamisesta lähtien. Tämä voidaan kiistatta jäljittää vuoteen 2002. Viime aikoina tietyn tyyppinen hajautettu-palvelunesto (DDoS-hyökkäys), joka käyttää NTP-protokollaa, on tullut jatkuvasti uhka. Vaikka ajatus NTP-vahvistus ei ole uusi, vuodesta 2014 lähtien hakkerit ovat onnistuneesti tehneet DDoS: lle lukemattomia tavoitteita sen kanssa.

Merkittävin tapaus, joka koski NDo-vahvistusta DDoS, oli vuonna 2014, jolloin Cloudflare-palvelimiin kohdistui suoraan DDoS-hyökkäys, joka hälytti jopa yrityksen toimitusjohtajan (hän ​​kutsui sitä ”rumajen asioiden alkamiseksi”). Tuolloin, klo 400 Gbps, tämä oli kerran kaikkien aikojen suurimpia DDoS-hyökkäyksiä. Hyökkäyksen yllättää vahvan DDoS-suojauksen perusteella tunnettu yritys, sen pitäisi antaa sinulle käsityksen siitä, kuinka voimakas NTP-vahvistus voi olla.

Koska näin on, turvallisuuspoliittisista ammattilaisista ja johtajista on tärkeää ymmärtää NTP-vahvistushyökkäykset. Vaikka hyökkäys on varjostanut muita voimakkaampia hyökkäyksiä, se on silti erittäin uhka. Kun olet valmis lukemaan tämän alukkeen, et vain ymmärrä NTP-vahvistus DDoS-hyökkäystä, vaan pystyt myös puolustamaan sitä vastaan.

Mikä on NTP-vahvistushyökkäys?

NTP-vahvistus DDoS-hyökkäys, yksinkertaisesti sanottuna, hyödyntää julkisia Network Time Protocol -palvelimia ylikuormittaaksesi kohteen robottiverkolla. Aloittamattomalle bottiverkko on joukko koneita (nimeltään “zombeja”), Joita käytetään DDoS-hyökkäyksessä. Hyökkääjä hallitsee niitä Command-and-Control (C2) -palvelimen avulla ja käyttää niiden suuria lukumääriä kohteen ylikuormitukseen. Jos kyseessä on NTP-vahvistus, DDoS tapahtuu UDP: n (User Datagram Protocol) kautta. UDP ei vaadi vastausta (kuten TCP / IP: n kolmisuuntainen SYN-SYN / ACK-ACK-kättely) paketien lähettämiseen. Tästä syystä on helpompaa luoda palvelunesto (DoS) -tilanne, joka koputtaa palvelimen tai verkon offline-tilassa.

NTP-vahvistushyökkäys on mahdollista johtuen virheestä Network Time Protocol -suunnitelmassa. NTP: llä on luontainen valvontapalvelu, jonka avulla järjestelmänvalvojat voivat tarkistaa kytkettyjen asiakkaiden liikennemäärät. Hyökkääjä “hanki luettelo” -komennon avulla voi hyödyntää tämän seurantapalvelun kykyjä huijata heidän osoitteensa olevan uhrin osoite. Esimerkiksi “monlist” antaa järjestelmänvalvojalle nähdä noin 600 viimeisintä asiakasta muodostamaan yhteyden palvelimeen.

Mikä lopulta tapahtuu, on UDP liikenne ylikuormittaa palvelinta ja tekee siitä toimimattoman. Järjestelmänvalvoja ei ole viisaampi, koska he näkevät kaiken liikenteen kuuluvan lailliselle käyttäjälle.

Vaikka tämä on lyhyt kuvaus, on välttämätöntä ymmärtää NTP DDoS-hyökkäys vaihe vaiheelta. Vasta sitten palvelimista vastaavat henkilöt oppivat puolustautumaan sitä vastaan.

Kuinka NTP-vahvistushyökkäys toimii??

  • Uhkatekijä muodostaa bottiverkon nykyisin käytettävissä olevien monien menetelmien avulla (todennäköisin vaihtoehto on erilaisten laitteiden tartuttaminen haittaohjelmilla).
  • Hyökkääjä löytää sitten julkisesti saatavilla olevan NTP-palvelimen ja määrittää IP-osoitteen, jonka se hyväksyy lailliseksi.
  • Tätä IP-osoitetta käyttämällä uhkatekijä huijaa UDP-paketit, jotka botnet-zombi-koneet lähettävät. Jokainen UDP-paketti ladataan “get monlist” -komennolla.
  • Bottiverkko alkaa sitten lähettää UDP-paketteja, ja jatkuvan haitallisen liikenteen tulon yhdistelmän ansiosta NTP-palvelin alkaa vastata valtavaan määrään “saada monlistia” -komentoja..
  • NTP-palvelin hukkua nopeasti yrittäessään vastata jokaiselle väärin muodostuneelle UDP-paketille.
  • Uhri koputetaan offline-tilassa eikä laillinen liikenne pääse läpi.

Kuinka NTP-vahvistushyökkäystä lievitetään?

Valitettava todellisuus NTP-vahvistushyökkäykset on se, että raudanluettuja ratkaisuja on hyvin vähän. Paljon tätä liittyy protokollan ikään. Vanhemmat protokollat ​​ovat alttiita hyväksikäytölle laajemmassa mittakaavassa yksinkertaisesti siksi, että 1980-luvulla esiintyneet uhat ovat lisääntyneet räjähdysmäisesti sen jälkeen. Meillä on tietokoneita, joiden prosessointiteho on sellainen, että vanhat tietokoneet vaikuttavat primitiivisiltä tekniikoilta. Kun Internet tuli julkiseksi 1990-luvun puolivälissä, ajatusta nykyisten kaltaisista matkapuhelimista pidetään tieteiskirjallisuutena. Muiden älykkäiden laitteiden kanssa, jotka kaikki muodostavat yhteyden esineiden Internetiin, bottiverkon luominen on helpompaa kuin koskaan ennen.

On kuitenkin joitain asioita, jotka voidaan tehdä NTP-vahvistus DDoS-hyökkäyksen lieventämiseksi. Kuten tässä raportissa usein todettiin, ”monlist” -komento on avain NTP-palvelimen hyödyntämiseen. Käytetystä palvelimesta riippuen on mahdollista asentaa korjaustiedosto, joka poistaa ”monlist” -komennon käytöstä. Vaikea asia tässä on, että laastarin on oltava 4.2.7 tai uudempi. Monet NTP-palvelimet ovat vanhoja palvelimia, eivätkä pysty tukemaan tätä korjausta. Sinänsä on toinen kiertotapa, joka on toteutettava lieventämiseksi. US-CERT suosittelee julkisissa NTP-palvelimissa, että vanhat järjestelmät syöttävät noquery-komennon “rajoita oletusarvoista” järjestelmämääritystä. Jos se suoritetaan oikein, se poistaa “monlist” -komennon.

Nämä lieventämistaktiikat eivät ehkä vielä riitä. Organisaatiosi koosta riippuen voi olla tarpeen käyttää ulkopuolisia palveluita. Jopa vahvimmat verkot voidaan pilata oikein käyttöön otetulla botnet-hyökkäyksellä. Tällöin voi olla tarpeen käyttää kolmannen osapuolen palvelua, joka voi hajottaa verkkoliikenteen. Sitten se lataa palvelimen kuormituksen enemmän kuin vain kohdennettuun verkkoon ja vie sen sijaan osan lämmöstä, jotta väärentänyt liikenne ei kaikki saavuta samaa palvelinta.

Lisätietoja DDoS: sta

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map