NTP-amplifiering DDoS Attack


NTP-amplifiering DDoS Attack

Network Time Protocol (NTP) är ett av de äldsta protokollen som fortfarande används på internet idag. Det användes först under mitten av 1980-talet när det skapades av University of Delawares David L. Mills. Mills, som är allmänt erkänd som en internetpionjär, försökte skapa ett internetprotokoll (IP) som synkroniserar datorns interna klocka.


NTP-protokollet har sett en hel del missbruk och missbruk sedan starten. Detta kan antagligen spåras tillbaka till år 2002. På senare tid har en viss typ av distribuerad-förnekelse-av-tjänst (DDoS attack), som använder NTP-protokollet, har blivit ett ständigt närvarande hot. Men idén om NTP-förstärkning är inte nytt, sedan 2014 har hackare framgångsrikt DDoS ‘s otaliga mål med det.

Den mest betydelsefulla incidenten med en NTP-förstärkning DDoS var 2014, där Cloudflare-servrar riktades direkt av en DDoS-attack som oroade även företagets VD (han kallade det “början på fula saker att komma”). Vid den tiden, kl 400 Gbps, detta var en gång de största DDoS-attackerna någonsin. För en attack för att överraska ett företag känt för starkt DDoS-skydd, bör detta ge dig en uppfattning om hur kraftfull NTP-förstärkning kan vara.

Eftersom detta är fallet är det viktigt för säkerhetspersonal och ledare som ansvarar för säkerhetspolitiken att förstå NTP-förstärkningsattacker. Även om attacken har överskuggas av andra, kraftigare attacker, är den fortfarande mycket hot. När du är klar med att läsa den här grundaren kommer du inte bara att förstå en NTP-förstärkning DDoS-attack, utan också kunna försvara mot den.

Vad är en NTP-förstärkningsattack?

En NTP-förstärkning DDoS-attack, enkelt sagt, utnyttjar offentliga Network Time Protocol-servrar för att överbelasta ett mål med ett botnet. För de oinitierade är ett botnet en uppsättning maskiner (kallas “zombies”) Som används i en DDoS-attack. De kontrolleras av angriparen med hjälp av en Command-and-Control (C2) -server och använder deras stora antal för att överbelasta ett mål. När det gäller en NTP-förstärkning, DDoS inträffar via User Datagram Protocol (UDP). UDP kräver inget svar (som TCP / IP trevägs SYN-SYN / ACK-ACK handskakning) för att skicka paket. Av detta skäl är det lättare att skapa en Denial-of-Service-situation (DoS) -situation som slår en server eller ett nätverk offline.

NTP-förstärkningsattacken är möjlig på grund av en brist i utformningen av Network Time Protocol. NTP har en inneboende övervakningstjänst som tillåter sysadmins att kontrollera trafikantal för anslutna klienter. Med hjälp av kommandot “få monlist” kan en angripare utnyttja denna övervakningstjänsts förmåga att förfalska deras adress till att vara offrets. Som referens tillåter “monlist” en administratör att se ungefär 600 av de senaste klienterna för att ansluta till servern.

Vad som så småningom händer är UDP trafik överbelastar servern och gör att den inte kan fungera. Administratören är ingen klokare eftersom de ser all trafik som tillhör en legitim användare.

Även om detta är en kort överblick, är det nödvändigt att förstå NTP DDoS-attacken steg för steg. Först då kan individer med ansvar för servrar lära sig att försvara sig mot det.

Hur fungerar en NTP-amplifieringsattack?

  • En hotaktör bildar ett botnet genom de många metoder som finns tillgängliga idag (att infektera olika enheter med skadlig kod är det mest troliga alternativet).
  • Attackaren hittar sedan en offentligt tillgänglig NTP-server och bestämmer en IP-adress som den kommer att acceptera som legitim.
  • Med hjälp av denna IP-adress förfalskade hotspelaren hantverk UDP-paket som ska skickas av botnet-zombie-maskinerna. Varje UDP-paket laddas med kommandot “get monlist”.
  • Botnet börjar sedan skicka UDP-paketen, och tack vare kombinationen av den ständiga tillströmningen av skadlig trafik börjar NTP-servern att svara på en enorm mängd “få monlist” -kommandon.
  • NTP-servern blir snabbt överväldigad när han försöker svara på varje missbildat UDP-paket.
  • Offret slås offline och all legitim trafik kan inte komma igenom.

Hur mildras en NTP-amplifieringsattack?

Den olyckliga verkligheten med NTP-förstärkningsattacker är att det finns mycket få järnklädda lösningar. Mycket av detta har att göra med protokollets ålder. Äldre protokoll är benägna att utnyttjas i större skala helt enkelt för att hot som fanns på 1980-talet har mångfaldigt sedan dess. Vi har datorer med processorkraft som gör att gamla datorer verkar vara primitiva tekniker. När internet offentliggjordes i mitten av 1990-talet skulle idén om mobiltelefoner som de vi har idag betraktas som science fiction. Med andra smarta enheter som alla ansluter till Internet-of-Things är botnetskapandet enklare än någonsin tidigare.

Det finns emellertid några saker som kan göras för att mildra en NTP-förstärkning DDoS-attack. Som man ofta noterade i denna rapport är kommandot “monlist” nyckeln till att utnyttja en NTP-server. Beroende på vilken server som används är det möjligt att installera en patch som inaktiverar kommandot “monlist”. Det svåra med detta är att lappen måste vara 4.2.7 eller högre. Många NTP-servrar är gamla servrar och kan inte stödja den här korrigeringen. Som sådan finns det en annan lösning som måste genomföras för att minska. På en offentligt NTP-server rekommenderar US-CERT att äldre system matar in kommandot ”noquery” till systemkonfigurationen ”begränsa standard”. Om den körs korrekt kommer det att inaktivera kommandot “monlist”.

Dessa åtgärder för att minska kanske fortfarande inte räcker. Beroende på storleken på din organisation kan det vara nödvändigt att anställa tjänster från tredje part. Även de starkaste nätverken kan förkrossas av en korrekt utplacerad botnetattack. Eftersom detta är fallet kan en tredjepartstjänst som kan sprida nätverkstrafik vara nödvändig. Den kommer sedan att lägga på servern i mer än bara det riktade nätverket och istället ta bort lite av värmen så att den förfalskade trafiken inte alla når samma server.

Läs mer om DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map