NTP Amplification DDoS Attack


NTP Amplification DDoS Attack

Το Network Time Protocol (NTP) είναι ένα από τα παλαιότερα πρωτόκολλα που εξακολουθούν να χρησιμοποιούνται στο Διαδίκτυο σήμερα. Χρησιμοποιήθηκε για πρώτη φορά στα μέσα της δεκαετίας του 1980 όταν δημιουργήθηκε από τον David L. Mills του Πανεπιστημίου του Delaware. Ο Mills, ο οποίος αναγνωρίζεται ευρέως ως πρωτοπόρος στο Διαδίκτυο, προσπάθησε να δημιουργήσει ένα πρωτόκολλο διαδικτύου (IP) που συγχρονίζει το εσωτερικό ρολόι ενός υπολογιστή.


Το πρωτόκολλο NTP έχει δει πολλές καταχρήσεις και κατάχρηση από την ίδρυσή του. Αυτό μπορεί αναμφισβήτητα να ανιχνευθεί στο έτος 2002. Τις τελευταίες περιόδους, ένας συγκεκριμένος τύπος διανομής-άρνησης-υπηρεσίας (Επίθεση DDoS), το οποίο χρησιμοποιεί το πρωτόκολλο NTP, έχει γίνει μια απειλή για πάντα. Αν και η ιδέα του Ενίσχυση NTP δεν είναι καινούργιο, από το 2014, οι χάκερ έχουν επιτύχει αμέτρητους στόχους DDoS.

Το πιο σημαντικό περιστατικό που αφορούσε μια ενίσχυση NTP DDoS ήταν το 2014, όπου οι διακομιστές Cloudflare στοχεύονταν άμεσα από μια επίθεση DDoS που ανησυχεί ακόμη και τον διευθύνοντα σύμβουλο της εταιρείας (το ονόμασε «η αρχή των άσχημων πραγμάτων που έρχονται»). Εκείνη τη στιγμή, στις 400 Gbps, ήταν κάποτε μια από τις μεγαλύτερες επιθέσεις DDoS ποτέ. Για μια επίθεση που εκπλήσσει μια εταιρεία γνωστή για την ισχυρή προστασία DDoS, αυτό θα σας δώσει κάποια ιδέα για το πόσο ισχυρή μπορεί να είναι η ενίσχυση NTP.

Όπως συμβαίνει αυτό, είναι ζωτικής σημασίας για τους επαγγελματίες ασφαλείας και τους ηγέτες που είναι υπεύθυνοι για την πολιτική ασφάλειας να κατανοήσουν τις επιθέσεις ενίσχυσης NTP. Αν και η επίθεση επισκιάστηκε από άλλες, πιο ισχυρές επιθέσεις, εξακολουθεί να αποτελεί απειλή. Όταν τελειώσετε να διαβάζετε αυτό το αστάρι, δεν θα καταλάβετε απλώς μια επίθεση DDoS ενίσχυσης NTP, αλλά θα είστε επίσης σε θέση να αμυνθείτε ενάντια σε αυτήν.

Τι είναι μια επίθεση ενίσχυσης NTP?

Μια επίθεση DDoS ενίσχυσης NTP, με απλά λόγια, εκμεταλλεύεται τους δημόσιους διακομιστές πρωτοκόλλου Time Network για να υπερφορτώσει έναν στόχο με ένα botnet. Για τους άγνωστους, ένα botnet είναι ένα σύνολο μηχανών (που ονομάζεται “ζόμπι“) Που χρησιμοποιούνται σε μια επίθεση DDoS. Ελέγχονται από τον εισβολέα χρησιμοποιώντας διακομιστή Command-and-Control (C2) και χρησιμοποιούν τους μεγάλους αριθμούς τους για να υπερφορτώσουν έναν στόχο. Στην περίπτωση ενίσχυσης NTP, το DDoS συμβαίνει μέσω του User Datagram Protocol (UDP). Το UDP δεν απαιτεί καμία απόκριση (όπως η χειραψία τριών κατευθύνσεων TCP / IP SYN-SYN / ACK-ACK) για την αποστολή πακέτων. Για αυτόν τον λόγο, είναι πιο εύκολο να δημιουργήσετε μια κατάσταση άρνησης υπηρεσίας (DoS) που χτυπά έναν διακομιστή ή ένα δίκτυο εκτός σύνδεσης.

Η επίθεση ενίσχυσης NTP είναι δυνατή λόγω ελαττώματος στο σχεδιασμό του πρωτοκόλλου ώρας δικτύου. Το NTP διαθέτει μια εγγενή υπηρεσία παρακολούθησης που επιτρέπει στους sysadmins να ελέγχουν τον αριθμό κυκλοφορίας συνδεδεμένων πελατών. Χρησιμοποιώντας την εντολή “get monlist”, ένας εισβολέας μπορεί να αξιοποιήσει τις ικανότητες αυτής της υπηρεσίας παρακολούθησης για να πλαστογραφήσει τη διεύθυνσή του ώστε να είναι αυτή του θύματος. Για αναφορά, το “monlist” επιτρέπει σε έναν διαχειριστή να βλέπει περίπου 600 από τους πιο πρόσφατους πελάτες να συνδεθούν στον διακομιστή.

Αυτό που τελικά συμβαίνει είναι το UDP Η κίνηση υπερφορτώνει τον διακομιστή και τον καθιστά μη λειτουργικό. Ο διαχειριστής δεν είναι ο σοφότερος, καθώς βλέπουν ότι όλη η κίνηση ανήκει σε έναν νόμιμο χρήστη.

Ενώ αυτή είναι μια σύντομη επισκόπηση, είναι απαραίτητο να κατανοήσουμε την επίθεση NTP DDoS βήμα προς βήμα. Μόνο τότε μπορούν τα άτομα που είναι υπεύθυνα για διακομιστές να μάθουν πώς να αμύνονται εναντίον του.

Πώς λειτουργεί μια επίθεση ενίσχυσης NTP?

  • Ένας ηθοποιός απειλής σχηματίζει ένα botnet μέσω των πολλών διαθέσιμων μεθόδων σήμερα (η μόλυνση διαφόρων συσκευών με κακόβουλο λογισμικό).
  • Στη συνέχεια, ο εισβολέας βρίσκει έναν δημόσιο διαθέσιμο διακομιστή NTP και καθορίζει μια διεύθυνση IP που θα αποδεχθεί ως νόμιμη.
  • Χρησιμοποιώντας αυτήν τη διεύθυνση IP, οι παραγωγοί απειλής παραποίησαν πακέτα UDP για αποστολή από τα μηχανήματα botnet zombie. Κάθε πακέτο UDP φορτώνεται με την εντολή “get monlist”.
  • Στη συνέχεια, το botnet αρχίζει να στέλνει τα πακέτα UDP και χάρη στο συνδυασμό της συνεχούς εισροής κακόβουλης κίνησης, ο διακομιστής NTP αρχίζει να αποκρίνεται σε ένα τεράστιο ποσό εντολών “get monlist”.
  • Ο διακομιστής NTP γρήγορα κατακλύζεται προσπαθώντας να ανταποκριθεί σε κάθε λανθασμένο πακέτο UDP.
  • Το θύμα χτυπιέται εκτός σύνδεσης και οποιαδήποτε νόμιμη κίνηση δεν μπορεί να περάσει.

Πώς μετριάζεται μια επίθεση ενίσχυσης NTP?

Η ατυχής πραγματικότητα με Επιθέσεις ενίσχυσης NTP είναι ότι υπάρχουν πολύ λίγες λύσεις σιδήρου. Πολλά από αυτά έχουν να κάνουν με την ηλικία του πρωτοκόλλου. Τα παλαιότερα πρωτόκολλα είναι επιρρεπή στην εκμετάλλευση σε μεγαλύτερη κλίμακα απλώς και μόνο επειδή οι απειλές που υπάρχουν τη δεκαετία του 1980 έχουν πολλαπλασιαστεί εκθετικά από τότε. Έχουμε υπολογιστές με ισχύ επεξεργασίας που κάνει τους υπολογιστές των παλαιών να μοιάζουν με πρωτόγονη τεχνολογία. Όταν το Διαδίκτυο κυκλοφόρησε στα μέσα της δεκαετίας του 1990, η ιδέα των κινητών τηλεφώνων όπως αυτά που έχουμε σήμερα θα θεωρηθεί επιστημονική φαντασία. Με άλλες έξυπνες συσκευές που συνδέονται με το Internet-of-Things, η δημιουργία botnet είναι ευκολότερη από ποτέ.

Υπάρχουν, ωστόσο, ορισμένα πράγματα που μπορούν να γίνουν για τον μετριασμό μιας επίθεσης DDoS ενίσχυσης NTP. Όπως παρατηρήθηκε συχνά σε αυτήν την αναφορά, η εντολή “monlist” είναι το κλειδί για την εκμετάλλευση ενός διακομιστή NTP. Ανάλογα με τον διακομιστή που χρησιμοποιείται, είναι δυνατό να εγκαταστήσετε μια ενημερωμένη έκδοση κώδικα που απενεργοποιεί την εντολή “monlist”. Το δύσκολο πράγμα με αυτό είναι ότι το έμπλαστρο πρέπει να είναι 4.2.7 ή παραπάνω. Πολλοί διακομιστές NTP είναι διακομιστές παλαιού τύπου και δεν μπορούν να υποστηρίξουν αυτήν την ενημέρωση κώδικα. Ως εκ τούτου, υπάρχει μια άλλη λύση που πρέπει να εφαρμοστεί για τον μετριασμό. Σε έναν δημόσιο διακομιστή NTP, το US-CERT συνιστά τα συστήματα παλαιού τύπου να εισάγουν την εντολή “noquery” στη διαμόρφωση συστήματος “περιορισμός προεπιλογής”. Εάν εκτελεστεί σωστά, θα απενεργοποιήσει την εντολή “monlist”.

Αυτές οι τακτικές μετριασμού ενδέχεται να μην είναι αρκετές. Ανάλογα με το μέγεθος του οργανισμού σας, ενδέχεται να είναι απαραίτητο να χρησιμοποιήσετε υπηρεσίες τρίτων. Ακόμη και τα ισχυρότερα δίκτυα μπορούν να παραλυθούν από μια σωστά αναπτυσσόμενη επίθεση botnet. Όπως συμβαίνει αυτό, ενδέχεται να είναι απαραίτητη μια υπηρεσία τρίτου μέρους που μπορεί να διασκορπίζει την κίνηση του δικτύου. Στη συνέχεια, θα φορτώσει τον διακομιστή σε κάτι περισσότερο από απλώς το στοχευμένο δίκτυο, και αντ ‘αυτού θα απενεργοποιήσει το μέρος έτσι ώστε η πλαστογραφημένη κίνηση να μην φτάσει όλοι στον ίδιο διακομιστή.

Μάθετε περισσότερα για το DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me