NTP ojačanje DDoS Attack


NTP ojačanje DDoS Attack

Network Time Protocol (NTP) je eden najstarejših protokolov, ki se še danes uporabljajo v internetu. Prvič je bil uporabljen sredi osemdesetih let, ko ga je ustvaril David L. Mills z univerze v Delaverju. Mills, ki je splošno priznan kot pionir interneta, si je prizadeval ustvariti internetni protokol (IP), ki bi sinhroniziral notranjo uro računalnika.


Protokol NTP je že od samega začetka doživel veliko zlorab in zlorab. To je mogoče zaslediti v letu 2002. V novejšem času je bila določena vrsta razdeljene-zanikajoče storitve (DDoS napad), ki uporablja protokol NTP, je postala vedno prisotna grožnja. Čeprav ideja o Ojačanje NTP ni novo, saj so hekerji od leta 2014 uspešno DDoS-u brezšteli tarče.

Najpomembnejši incident, ki je vključeval DDoS ojačitev NTP, je bil leta 2014, kjer so strežniki Cloudflare neposredno bili tarča napada DDoS, ki je alarmiral celo izvršnega direktorja podjetja (imenoval ga je “začetek grdih stvari, ki prihajajo”). Takrat ob 400 Gbps, to je bil nekoč največji napad DDoS doslej. Da bi napad presenetil podjetje, ki je znano po močni zaščiti DDoS, bi vam to moralo predstavljati, kako močan je lahko NTP ojačanje.

Tako je za varnostne strokovnjake in vodje, odgovorne za varnostno politiko, ključnega pomena, da razumejo napade okrepitve NTP. Čeprav so napad zasenčili drugi, močnejši napadi, še vedno zelo grozi. Ko boste prebrali ta primer, ne boste le razumeli napada DDoS ojačitve NTP, ampak se boste tudi lahko branili pred njim.

Kaj je napad Amplification NTP?

Napredni napad DDoS ojačitve NTP, preprosto povedano, izkorišča javne strežnike Network Time Protocol, da preobremenijo cilj z botnetom. Za neuveščene je botnet nabor strojev (imenovan „zombija“), Ki se uporabljajo v napadu DDoS. Napadalec jih nadzoruje s strežnikom Command-and-Control (C2) in njihovo veliko število uporablja za preobremenitev cilja. V primeru razširitve NTP, je DDoS se zgodi s protokolom UDP (User Datagram Protocol). UDP za pošiljanje paketov ne zahteva nobenega odziva (kot je TCP / IP tristransko rokovanje SYN-SYN / ACK-ACK). Zaradi tega je lažje ustvariti situacijo za zavrnitev storitve (DoS), ki strežnik ali omrežje trka brez povezave.

Napad ojačevanja NTP je možen zaradi napake v oblikovanju omrežnega časovnega protokola. NTP ima inherentno storitev spremljanja, ki sysadminom omogoča preverjanje števila prometa povezanih odjemalcev. S pomočjo ukaza “zasluži seznam” napadalec lahko izkoristi zmožnosti te službe za spremljanje, da pokvari svoj naslov tako, da je naslov žrtve. Za referenco, “monlist” omogoča skrbniku, da vidi približno 600 najnovejših odjemalcev za povezavo s strežnikom.

Na koncu se zgodi tisto UDP promet preobremeni strežnik in ga onemogoči. Skrbnik ni nič pametnejši, saj ves promet vidi kot zakonit uporabnik.

Čeprav je to kratek pregled, je treba korak za korakom razumeti napad NTP DDoS. Šele takrat se lahko posamezniki, zadolženi za strežnike, naučijo, kako se pred njim braniti.

Kako deluje napad Amplification NTP?

  • Akter grožnje oblikuje botnet s številnimi danes razpoložljivimi metodami (okužba različnih naprav z zlonamerno programsko opremo je najverjetnejša možnost).
  • Nato napadalec poišče javno dostopni strežnik NTP in določi IP naslov, ki ga bo sprejel kot zakonit.
  • S tem IP naslovom akter grožnje izdela ponarejene pakete UDP, ki jih bodo poslali botnet zombi stroji. Vsak paket UDP je naložen z ukazom »get monlist«.
  • Nato botnet začne pošiljati pakete UDP, in zahvaljujoč se nenehnemu prilivu zlonamernega prometa strežnik NTP se začne odzivati ​​na ogromno število ukazov »get monlist«.
  • Strežnik NTP se hitro preplavi, ko se poskuša odzvati na vsak napačno oblikovan paket UDP.
  • Žrtev trka brez povezave in nobenega zakonitega prometa ni mogoče prebiti.

Kako se ublaži napad ojačanja NTP?

Nesrečna resničnost s Napadi okrepitve NTP je, da je zelo malo železnih rešitev. Veliko tega je povezano s starostjo protokola. Starejši protokoli so nagnjeni k izkoriščanju v večjem obsegu samo zato, ker so se nevarnosti, ki so bile prisotne v osemdesetih, od takrat naprej eksponentno pomnožene. Imamo računalnike s procesno močjo, zaradi česar so stari računalniki videti kot primitivna tehnologija. Ko je internet sredi devetdesetih stopil v javnost, bi ideja o mobilnih telefonih, kakršna imamo danes, veljala za znanstveno fantastiko. Z drugimi pametnimi napravami, ki so povezane z internetom stvari, je ustvarjanje botneta lažje kot doslej.

Vendar pa je nekaj, kar je mogoče storiti, da omilimo napad DDoS ojačitve NTP. Kot je bilo pogosto omenjeno v tem poročilu, je ukaz “monlist” ključen za izkoriščanje strežnika NTP. Odvisno od uporabljenega strežnika je mogoče namestiti obliž, ki onemogoči ukaz “monlist”. Težava pri tem je, da mora biti obliž od 4.2.7 ali višji. Mnogi strežniki NTP so podedovani strežniki in ne morejo podpirati tega popravka. Kot tak je še en postopek, ki ga je treba izvesti za ublažitev. Na strežniku NTP, ki je usmerjen v javnost, US-CERT priporoča, da zapuščeni sistemi vnesejo ukaz “noquery” v sistemsko konfiguracijo “omeji privzeto”. Če je pravilno izveden, bo onemogočil ukaz »monlist«.

Te takšne omilitvene taktike morda še vedno niso dovolj. Glede na velikost vaše organizacije bo morda treba uporabiti storitve drugih proizvajalcev. Celo najmočnejša omrežja lahko ogrozi pravilno nameščen napad z botnetom. V tem primeru bo morda potrebna storitev drugega proizvajalca, ki lahko raztrese omrežni promet. Nato bo strežnik naložil na več kot le ciljno omrežje in namesto tega odvzel nekaj toplote, tako da pokvarjeni promet ne doseže istega strežnika.

Preberite več o DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map