هجوم DDoS لتضخيم NTP


هجوم DDoS لتضخيم NTP

بروتوكول وقت الشبكة (NTP) هو أحد أقدم البروتوكولات التي لا تزال مستخدمة على الإنترنت اليوم. تم استخدامه لأول مرة خلال منتصف الثمانينيات عندما تم إنشاؤه من قبل جامعة ديفيد ل. ميلز. سعى ميلز ، المعترف به على نطاق واسع باعتباره رائد الإنترنت ، لإنشاء بروتوكول الإنترنت (IP) الذي يزامن الساعة الداخلية للكمبيوتر.


شهد بروتوكول NTP قدرا كبيرا من إساءة المعاملة وسوء الاستخدام منذ إنشائه. يمكن القول أن هذا يرجع إلى عام 2002. في الآونة الأخيرة ، نوع معين من رفض الخدمة الموزعة (هجوم DDoS) ، الذي يستخدم بروتوكول NTP ، أصبح تهديدًا دائمًا. على الرغم من فكرة تضخيم NTP ليست جديدة ، منذ عام 2014 ، نجح المتسللون في DDoS في تحقيق أهداف لا تعد ولا تحصى معها.

كانت الحادثة الأكثر أهمية التي تنطوي على تضخيم NToS DDoS في عام 2014 ، حيث تم استهداف خوادم Cloudflare بشكل مباشر من خلال هجوم DDoS الذي أزعج حتى الرئيس التنفيذي للشركة (أطلق عليه “بداية الأشياء القبيحة القادمة”). في ذلك الوقت ، في 400 جيجابايت / ثانية, كان هذا من أكبر هجمات DDoS على الإطلاق. من أجل هجوم يفاجئ شركة معروفة بحماية DDoS القوية ، يجب أن يمنحك هذا فكرة عن مدى قوة تضخيم NTP.

كما هو الحال ، من الأهمية بمكان لمهنيي الأمن والقادة المسؤولين عن السياسة الأمنية فهم هجمات تضخيم NTP. على الرغم من أن الهجوم قد طغت عليه هجمات أخرى أكثر قوة ، إلا أنه لا يزال يمثل تهديدًا إلى حد كبير. في الوقت الذي تنتهي فيه من قراءة هذا التمهيدي ، لن تفهم فقط هجوم DDoS لتضخيم NTP ، بل ستتمكن أيضًا من الدفاع ضده.

ما هو هجوم تضخيم NTP?

هجوم DDoS لتضخيم NTP ، ببساطة ، يستغل خوادم بروتوكول وقت الشبكة العامة لزيادة الحمل على هدف باستخدام الروبوت. بالنسبة للمبتدئين ، فإن الروبوتات عبارة عن مجموعة من الآلات (تسمى “الاموات الاحياء“) المستخدمة في هجوم DDoS. يتم التحكم فيها من قبل المهاجم باستخدام خادم القيادة والتحكم (C2) واستخدام أعدادهم الكبيرة لتحميل هدف بشكل زائد. في حالة تضخيم NTP ، فإن DDoS يحدث عبر بروتوكول مخطط بيانات المستخدم (UDP). لا يتطلب UDP أي استجابة (مثل مصافحة TCP / IP ثلاثية SYN-SYN / ACK-ACK) لإرسال الحزم. لهذا السبب ، من الأسهل إنشاء موقف رفض الخدمة (DoS) الذي يطرق الخادم أو الشبكة دون اتصال.

هجوم تضخيم NTP ممكن بسبب خلل في تصميم بروتوكول وقت الشبكة. لدى NTP خدمة مراقبة متأصلة تسمح لمسؤولي النظام بالتحقق من أعداد حركة العملاء المتصلين. باستخدام الأمر “الحصول على قائمة” ، يمكن للمهاجم الاستفادة من قدرات خدمة المراقبة هذه لتزييف عنوانهم ليكون عنوان الضحية. كمرجع ، يسمح “monlist” للمسؤول برؤية ما يقرب من 600 من أحدث العملاء للاتصال بالخادم.

ما يحدث في النهاية هو UDP حركة المرور الزائدة الخادم ويجعلها غير صالحة للعمل. المسؤول ليس أكثر حكمة حيث يرون كل حركة المرور تنتمي إلى مستخدم شرعي.

في حين أن هذه نظرة عامة موجزة ، فمن الضروري فهم هجوم NTP DDoS خطوة بخطوة. عندها فقط يمكن للأفراد المسؤولين عن الخوادم تعلم كيفية الدفاع ضدها.

كيف يعمل هجوم تضخيم NTP?

  • يشكل الفاعل التهديد شبكة الروبوتات من خلال العديد من الطرق المتاحة اليوم (يعد إصابة الأجهزة المختلفة بالبرامج الضارة الخيار الأكثر احتمالًا).
  • ثم يعثر المهاجم على خادم NTP متاح للجمهور ويحدد عنوان IP الذي سيقبله على أنه شرعي.
  • باستخدام عنوان IP هذا ، فإن الحرف الفاعل المهدد ينتحل حزم UDP ليتم إرسالها من قبل أجهزة الروبوتات الروبوتات. يتم تحميل كل حزمة UDP باستخدام الأمر “الحصول على قائمة”.
  • تبدأ البوت نت بعد ذلك بإرسال حزم UDP ، وبفضل مزيج التدفق المستمر لحركة المرور الخبيثة ، يبدأ خادم NTP في الاستجابة لكمية هائلة من أوامر “الحصول على قائمة”.
  • يغمر خادم NTP بسرعة في محاولة الاستجابة لكل حزمة UDP تالفة.
  • الضحية مطروحة بلا إنترنت ولا يمكن لأي حركة مرور شرعية المرور.

كيف يتم تخفيف هجوم تضخيم NTP?

الواقع المؤسف مع هجمات تضخيم NTP هو أن هناك عدد قليل جدًا من حلول الحديد. يتعلق الكثير من هذا بعمر البروتوكول. البروتوكولات الأقدم عرضة للاستغلال على نطاق أوسع لمجرد أن التهديدات الموجودة في الثمانينيات قد تضاعفت أضعافا مضاعفة منذ ذلك الحين. لدينا أجهزة كمبيوتر ذات قوة معالجة تجعل أجهزة الكمبيوتر القديمة تبدو وكأنها تقنية بدائية. عندما أصبح الإنترنت عامًا في منتصف التسعينات ، كانت فكرة الهواتف الخلوية مثل تلك التي لدينا اليوم تعتبر خيالًا علميًا. مع توصيل جميع الأجهزة الذكية الأخرى بإنترنت الأشياء ، أصبح إنشاء الروبوتات أسهل من أي وقت مضى.

ومع ذلك ، هناك بعض الأشياء التي يمكن القيام بها للتخفيف من هجوم DDoS لتضخيم NTP. كما لوحظ بشكل متكرر طوال هذا التقرير ، فإن الأمر “monlist” هو مفتاح استغلال خادم NTP. اعتمادًا على الخادم المستخدم ، من الممكن تثبيت تصحيح يعطل الأمر “monlist”. الشيء الصعب في هذا هو أن التصحيح يجب أن يكون 4.2.7 أو أعلى. العديد من خوادم NTP هي خوادم قديمة ولا يمكنها دعم هذا التصحيح. على هذا النحو ، هناك حل آخر يجب تنفيذه للتخفيف. على خادم NTP العام ، توصي US-CERT من الأنظمة القديمة بإدخال الأمر “noquery” في تكوين النظام “تقييد الافتراضي”. إذا تم تنفيذه بشكل صحيح ، فسيتم تعطيل الأمر “monlist”.

قد لا تزال تكتيكات التخفيف هذه غير كافية. اعتمادًا على حجم مؤسستك ، قد يكون من الضروري توظيف خدمات الطرف الثالث. حتى أقوى الشبكات يمكن أن تشلها هجوم الروبوتات المنشورة بشكل صحيح. كما هو الحال ، قد يكون من الضروري وجود خدمة خارجية يمكنها تشتيت حركة مرور الشبكة. بعد ذلك سيضع تحميل الخادم على أكثر من مجرد الشبكة المستهدفة ، وبدلاً من ذلك يزيل بعض الحرارة حتى لا تصل حركة المرور المنتحلة إلى الخادم نفسه.

تعرف على المزيد حول DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map