NTP放大DDoS攻击


NTP放大DDoS攻击

网络时间协议(NTP)是当今互联网上仍在使用的最古老的协议之一。它由特拉华大学的戴维·米尔斯(David L. Mills)于1980年代中期首次使用。 Mills被广泛认为是互联网先驱,他试图创建一个可以使计算机内部时钟同步的互联网协议(IP).


自NTP协议诞生以来,它已经遭受了很多滥用和滥用。可以将其追溯到2002年。在最近一段时间,一种特定类型的分布式拒绝服务(DDoS攻击)(使用NTP协议)已成为一种持续存在的威胁。虽然的想法 NTP扩增 这并不是什么新鲜事物,自2014年以来,黑客就已经成功地将DDoS攻击目标定为无数.

涉及NTP放大DDoS的最重大事件发生在2014年,当时Cloudflare服务器直接受到DDoS攻击的攻击,该攻击甚至使该公司的首席执行官感到震惊(他称这是“丑陋事情的开始”)。当时, 400 Gbps, 这曾经是有史以来最大的DDoS攻击。为了使一家以强大的DDoS保护闻名的公司感到惊讶,这应该使您了解NTP放大功能的强大程度。.

在这种情况下,对于安全专业人员和负责安全策略的领导者来说,了解NTP放大攻击至关重要。尽管该攻击已被其他更强大的攻击所掩盖,但它仍然是一种威胁。读完本入门书时,您不仅会了解NTP放大DDoS攻击,而且还能防御它.

什么是NTP放大攻击?

简单来说,NTP放大DDoS攻击利用公共网络时间协议服务器利用僵尸网络使目标过载。对于初学者来说,僵尸网络是一组机器(称为“僵尸”)用于DDoS攻击。它们由攻击者使用命令和控制(C2)服务器进行控制,并使用大量命令使目标超载。如果是NTP放大, 拒绝服务 通过用户数据报协议(UDP)发生。 UDP不需要任何响应(例如TCP / IP三向SYN-SYN / ACK-ACK握手)来发送数据包。因此,更容易造成拒绝服务(DoS)情况,使服务器或网络脱机.

由于网络时间协议设计中的缺陷,可能会导致NTP放大攻击。 NTP具有一个固有的监视服务,该服务使sysadmin可以检查已连接客户端的流量计数。使用“获取monlist”命令,攻击者可以利用此监视服务的能力来欺骗其地址,使其成为受害者的地址。作为参考,“ monlist”使管理员可以查看大约600个最新客户端以连接到服务器.

最终发生的是 UDP协议 流量会使服务器超载,并使其无法运行。管理员更明智,因为他们将所有流量都视为合法用户.

尽管这是一个简短的概述,但有必要逐步了解NTP DDoS攻击。只有这样,负责服务器的个人才能学习如何防御它.

NTP放大攻击如何工作?

  • 威胁参与者通过当今可用的许多方法构成了一个僵尸网络(最可能的选择是用恶意软件感染各种设备).
  • 然后,攻击者找到一个公共可用的NTP服务器,并确定它将接受为合法的IP地址。.
  • 威胁参与者使用此IP地址来制作由僵尸网络僵尸计算机发送的欺骗性UDP数据包。每个UDP数据包都加载了“ get monlist”命令.
  • 然后,僵尸网络开始发送UDP数据包,并且由于恶意流量不断涌入的结合,NTP服务器开始响应大量的“ get monlist”命令。.
  • NTP服务器在尝试响应每个格式错误的UDP数据包时很快变得不知所措.
  • 受害者被下线,任何合法流量都无法通过.

如何缓解NTP放大攻击?

与不幸的现实 NTP放大攻击 铁定的解决方案很少。这在很大程度上与协议的年代有关。仅因为1980年代以来存在的威胁自那时以来成倍增加,较旧的协议就易于大规模利用。我们拥有的计算机具有处理能力,可以使旧计算机看起来像原始技术。当互联网在1990年代中期公开上市时,像我们今天所拥有的蜂窝电话的想法将被视为科幻小说。随着其他所有智能设备都连接到物联网,僵尸网络的创建比以往任何时候都更加容易.

但是,可以采取一些措施来减轻NTP放大DDoS攻击。正如本报告中经常提到的那样,“ monlist”命令是利用NTP服务器的关键。根据所使用的服务器,可以安装禁用“ monlist”命令的补丁。棘手的是,此修补程序必须为4.2.7或更高版本。许多NTP服务器是旧服务器,不能支持此修补程序。因此,必须采取另一种变通办法来缓解。在面向公众的NTP服务器上,US-CERT建议旧系统在“限制默认”系统配置中输入“ noquery”命令。如果执行正确,它将禁用“ monlist”命令.

这些缓解策略可能仍然不够。根据组织的规模,可能有必要雇用第三方服务。正确部署的僵尸网络攻击甚至会削弱最强大的网络。在这种情况下,可能需要散布网络流量的第三方服务。然后,这将使服务器的负载不仅限于目标网络,而且会减少一些热量,以使欺骗的流量不会全部到达同一服务器.

了解有关DDoS的更多信息

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map