Посилення DDoS атаки NTP


Посилення DDoS атаки NTP

Мережевий протокол часу (NTP) – це один із найстаріших протоколів, який досі використовується в Інтернеті. Вперше він був використаний у середині 1980-х років, коли його створив Девід Лейлз Міллз із Університету Делавера. Міллс, який широко визнаний піонером Інтернету, прагнув створити Інтернет-протокол (IP), який синхронізує внутрішній годинник комп’ютера.


Протокол NTP зазнав великої кількості зловживань та зловживань з часу його створення. Це, мабуть, можна простежити в 2002 році. У більш пізні часи певний тип розподіленого відмови в обслуговуванні (DDoS-атака), який використовує протокол NTP, стає сталою загрозою. Хоча ідея о Підсилення NTP не є новим, оскільки з 2014 року хакери успішно діставали безлічі цілей DDoS.

Найбільш вагомий випадок, пов’язаний з посиленням NTP DDoS, стався в 2014 році, коли сервери Cloudflare були безпосередньо націлені на атаку DDoS, яка насторожила навіть генерального директора компанії (він назвав це “початком потворних речей, що настають”). У той час, в 400 Гбіт / с, це була колись одна з найбільших DDoS-атак коли-небудь. Щоб напад здивував компанію, відому сильним захистом DDoS, це повинно дати вам уявлення про те, наскільки потужним може бути посилення NTP.

У цьому випадку важливо, щоб фахівці з безпеки та керівники, відповідальні за політику безпеки, розуміли напади посилення NTP. Хоча атака була затьмарена іншими, більш потужними атаками, вона все ще дуже загрожує. До того часу, як ви закінчите читати цей буквар, ви не просто зрозумієте DDP-атаку посилення NTP, але і зможете захищатись від неї..

Що таке атака посилення NTP?

DDoS-атака посилення NTP, простіше кажучи, використовує загальнодоступні сервери мережевого протоколу часу для перевантаження цілі ботнетом. Для непосвячених ботнет – це набір машин (званий “зомбі”), Які використовуються в атаці DDoS. Вони контролюються зловмисником за допомогою сервера Command-and Control (C2) і використовують їх велику кількість для перевантаження цілі. У разі посилення NTP DDoS відбувається через протокол User Datagram Protocol (UDP). UDP не вимагає жодної відповіді (наприклад, TCP / IP тристороннє рукостискання SYN-SYN / ACK-ACK) для надсилання пакетів. З цієї причини легше створити ситуацію з відмовою в обслуговуванні (DoS), яка збиває сервер або мережу в режимі офлайн..

Атака посилення NTP можлива через недолік у дизайні мережевого протоколу часу. NTP має вбудовану службу моніторингу, яка дозволяє sysadmins перевіряти кількість трафіку підключених клієнтів. Використовуючи команду “Отримати список”, зловмисник може використовувати можливості цієї служби моніторингу, щоб підробляти свою адресу, щоб бути адресою жертви. Для довідки, «список списку» дозволяє адміністратору бачити приблизно 600 останніх клієнтів для підключення до сервера.

Що зрештою трапляється, це UDP трафік перевантажує сервер і робить його непрацездатним. Адміністратор не мудріший, оскільки вони бачать весь трафік як належний законному користувачеві.

Хоча це короткий огляд, необхідно розібратися в атаці NTP DDoS крок за кроком. Тільки тоді особи, відповідальні за сервери, дізнаються, як захищатися від цього.

Як працює атака посилення NTP?

  • Актор погрози формує ботнет через безліч методів, доступних сьогодні (зараження різних пристроїв шкідливим програмним забезпеченням – найімовірніший варіант).
  • Потім зловмисник знаходить загальнодоступний сервер NTP і визначає IP-адресу, яку він прийме як законну.
  • Використовуючи цю IP-адресу, актор загрози створює підроблені пакети UDP, які надсилаються машинами зомбі-ботнету. Кожен пакет UDP завантажується командою «отримати монстр».
  • Потім ботнет починає надсилати пакети UDP, і завдяки поєднанню постійного припливу зловмисного трафіку сервер NTP починає реагувати на величезну кількість команд “отримати список”..
  • Сервер NTP швидко переповнюється, намагаючись реагувати на кожен неправильно сформований пакет UDP.
  • Потерпілий вибивається в автономному режимі, і будь-який законний трафік не може пройти.

Як пом’якшується атака посилення NTP?

Нещасна реальність с Атаки посилення NTP полягає в тому, що залізобетонних рішень дуже мало. Багато цього стосується віку протоколу. Старіші протоколи схильні до експлуатації в більшому масштабі просто тому, що загрози, наявні в 1980-х роках, з тих пір зростали експоненціально. У нас є комп’ютери з потужністю обробки, що робить комп’ютери старих схожими на примітивні технології. Коли в середині 1990-х Інтернет став загальнодоступним, ідея стільникових телефонів, таких як у нас сьогодні, вважалася б науковою фантастикою. З іншими розумними пристроями, які підключаються до Інтернету речей, створення ботнетів простіше, ніж будь-коли раніше.

Однак є деякі речі, які можна зробити для пом’якшення атаки DDoS посилення NTP. Як часто зазначалося в цьому звіті, команда “monlist” є ключовою для використання сервера NTP. Залежно від використовуваного сервера, можна встановити виправлення, яке відключає команду «monlist». У цьому полягає складність у тому, що патч повинен бути 4.2.7 або вище. Багато серверів NTP є застарілими серверами і не можуть підтримувати цей виправлення. Таким чином, існує ще одне вирішення, яке необхідно здійснити для пом’якшення наслідків. На загальнодоступному сервері NTP US-CERT рекомендує застарілим системам вводити команду «noquery» до конфігурації системи «обмежити за замовчуванням». Якщо виконано належним чином, це відключить команду «monlist».

Таких тактик пом’якшення наслідків може бути недостатньо. Залежно від розміру вашої організації, може знадобитися використання сторонніх служб. Навіть найміцніші мережі можуть бути каліками від належної розгорнутої атаки ботнетів. У цьому випадку може знадобитися сторона, яка може розсіяти мережевий трафік. Тоді він покладе навантаження на сервер більше, ніж просто націлену мережу, і замість цього відіб’є частину тепла, щоб спонфікований трафік не досяг усіх серверів.

Дізнайтеся більше про DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me