NTP võimendamise DDoS rünnak


NTP võimendamise DDoS rünnak

Võrguajaprotokoll (NTP) on üks vanimaid protokolle, mida Internetis tänapäevalgi kasutatakse. Esmakordselt kasutati seda 1980-ndate aastate keskel, kui selle lõi Delaware’i ülikooli David L. Mills. Interneti teerajajana laialt tuntud Mills püüdis luua Interneti-protokolli (IP), mis sünkroonib arvuti sisemist kella.


NTP-protokolli on selle loomisest alates olnud palju kuritarvitusi ja kuritarvitusi. Vaieldamatult võib seda leida aastast 2002. Uuemal ajal on teatavat tüüpi hajutatud teenuse keelamine (DDoS rünnak), mis kasutab NTP-protokolli, on muutunud pidevalt esinevaks ohuks. Kuigi idee sellest NTP võimendamine pole uus, alates 2014. aastast on häkkerid sellega edukalt DDoS-i lugematuid sihtmärke seadnud.

Kõige olulisem NTP võimendamisega DDoS seotud juhtum oli 2014. aastal, kus Cloudflare’i servereid oli otseselt suunatud DDoS-i rünnaku vastu, mis äratas isegi ettevõtte tegevjuhti (ta nimetas seda “koledate asjade alguseks”). Omal ajal kell 400 Gbps, see oli kunagi läbi aegade suurim DDoS-rünnak. Rünnaku jaoks, mis üllatab tugeva DDoS-kaitsega tuntud ettevõtet, peaks see andma teile ülevaate sellest, kui võimas NTP võimendamine võib olla.

Kuna see on nii, on turvaspetsialistidel ja turvapoliitika eest vastutavatel juhtidel elutähtis mõista NTP võimendamise rünnakuid. Ehkki rünnakut on varjutanud muud võimsamad rünnakud, on see siiski suureks ohuks. Selleks ajaks, kui olete selle praimeri lugemise lõpetanud, mõistate mitte ainult NTP võimendamise DDoS-rünnakut, vaid saate ka selle vastu kaitsta.

Mis on NTP võimendamise rünnak?

NTP võimendamise DDoS rünnak, lihtsalt öeldes, kasutab avalikke võrgu ajaprotokolli servereid eesmärgi robotivõrguga ülekoormamiseks. Initsiatiivil on botivõrk masinate komplekt (nn “zombisid”), Mida kasutatakse DDoS-rünnakus. Ründaja kontrollib neid Command-and-Control (C2) serveri abil ja kasutab nende suurt arvu sihtmärgi ülekoormamiseks. NTP võimendamise korral DDoS toimub kasutaja andmegrammi protokolli (UDP) kaudu. UDP ei vaja pakettide saatmiseks mingit vastust (nagu näiteks TCP / IP kolmesuunaline SYN-SYN / ACK-ACK käepigistus). Sel põhjusel on lihtsam luua teenuse keelamise (DoS) olukord, mis koputab serverit või võrku võrguühenduseta.

NTP võimendamise rünnak on võimalik tänu võrgu ajaprotokolli kavandamise vigadele. NTP-l on omane jälgimisteenus, mis võimaldab süsteemiadministraatoritel kontrollida ühendatud klientide liikluse arvu. Kasutades käsku „saada monlist”, saab ründaja kasutada selle jälgimisteenuse võimeid võltsida oma aadressi ohvri aadressiks. Võrdluseks võimaldab monlist administraatoril näha umbes 600 kõige uuemat klienti serveriga ühenduse loomiseks.

Mis lõpuks juhtub, on UDP liiklus koormab serverit üle ja muudab selle töötuks. Administraator pole keegi targem, kuna nad näevad kogu liiklust seadusliku kasutaja omanduses.

Kuigi see on lühike ülevaade, on vaja NTP DDoS-i rünnakut samm-sammult mõista. Alles siis saavad serverite eest vastutavad isikud õppida, kuidas selle vastu kaitsta.

Kuidas NTP võimendamise rünnak töötab??

  • Ohutegur moodustab tänapäeval pakutavate paljude meetodite abil botivõrgu (kõige tõenäolisem on mitmesuguste seadmete nakatamine pahavaraga).
  • Seejärel leiab ründaja avalikkusele kättesaadava NTP-serveri ja määrab IP-aadressi, mida ta aktsepteerib seaduslikuna.
  • Seda IP-aadressi kasutades pettis ohuolukorras tegutseja UDP-pakette, mis saadetakse robotivõrkude zombimasinate poolt. Iga UDP pakett laaditakse käsuga „saada monlist”.
  • Seejärel alustab botivõrk UDP-pakettide saatmist ja tänu pideva pahatahtliku liikluse sissevoolu kombinatsioonile hakkab NTP-server reageerima tohutule hulgale käskudele “saada monlistiks”.
  • NTP-server hämmastub kiiresti igale vääralt vormitud UDP-paketile reageerimisel.
  • Ohvrit koputatakse võrguühenduseta ja igasugune seaduslik liiklus ei pääse sellest läbi.

Kuidas leevendatakse NTP võimendamise rünnakut?

Õnnetu reaalsus koos NTP võimendamise rünnakud on see, et rauast plaaditud lahendusi on väga vähe. Suur osa sellest on seotud protokolli vanusega. Vanemate protokollide kalduvus suuremal määral ära kasutada lihtsalt seetõttu, et 1980. aastatel esinevad ohud on sellest ajast alates hüppeliselt kasvanud. Meil on arvuteid töötlemisvõimsusega arvutitega, mis muudavad vanad arvutid primitiivseteks tehnoloogiateks. Kui Internet 1990ndate keskel avalikuks sai, peetakse seda mobiiltelefonide ideed nagu meil tänapäeval ulmeks. Kõigi muude asjade Interneti-ühendusega nutiseadmete abil on botivõrkude loomine lihtsam kui kunagi varem.

NTP võimendamise DDoS-rünnaku leevendamiseks saab siiski teha mõned asjad. Nagu kogu aruandes sageli täheldati, on käsk „monlist” NTP-serveri kasutamise võti. Sõltuvalt kasutatavast serverist on võimalik installida plaaster, mis keelab käsu „monlist”. Selle juures on keeruline see, et plaaster peab olema 4.2.7 või uuem. Paljud NTP-serverid on pärandserverid ega toeta seda plaastrit. Sellisena on olemas veel üks lahendus, mida tuleb leevendamiseks rakendada. Üldkasutatavas NTP-serveris soovitab US-CERT pärandsüsteemidel sisestada käsk „noquery” süsteemi „vaikeseade” – konfiguratsiooni. Kui see täidetakse õigesti, blokeerib see käsu “monlist”.

Need leevendamistaktikad ei pruugi ikkagi piisavad. Sõltuvalt teie organisatsiooni suurusest võib osutuda vajalikuks kasutada kolmanda osapoole teenuseid. Isegi tugevaimaid võrke saab korralikult käivitatud botnetrünnak rikkuda. Sel juhul võib osutuda vajalikuks kolmanda osapoole teenus, mis suudab hajutada võrguliiklust. Seejärel paneb see serveri koormuse enamale kui lihtsalt sihitud võrgule ja võtab selle asemel osa soojust maha, nii et võltsitud liiklus ei jõuaks kõik samasse serverisse.

Lisateave DDoS-i kohta

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me