NTP-усиление DDoS-атаки

Протокол сетевого времени (NTP) является одним из старейших протоколов, которые до сих пор используются в Интернете. Впервые он был использован в середине 1980-х годов, когда он был создан Дэвидом Л. Миллсом из университета штата Делавэр. Миллс, который широко известен как пионер Интернета, стремился создать интернет-протокол (IP), который синхронизирует внутренние часы компьютера.

Протокол NTP видел много злоупотреблений и злоупотреблений с момента его создания. Это, вероятно, можно проследить до 2002 года. В более поздние времена, особый тип распределенного отказа в обслуживании (DDoS-атака), который использует протокол NTP, стал постоянной угрозой. Хотя идея Амплификация NTP не новость, с 2014 года хакеры успешно справились с бесчисленными целями DDoS.

Наиболее значительный инцидент, связанный с DDoS-усилением NTP, произошел в 2014 году, когда серверы Cloudflare были непосредственно направлены на DDoS-атаку, которая встревожила даже генерального директора компании (он назвал это «началом гадких событий»). В то время, в 400 Гбит / с, это была одна из самых больших атак DDoS за всю историю. Чтобы атака удивила компанию, известную сильной защитой от DDoS, это должно дать вам представление о том, насколько мощным может быть усиление NTP..

Поскольку это так, для специалистов по безопасности и руководителей, отвечающих за политику безопасности, важно понимать атаки NTP-усиления. Хотя атака была омрачена другими, более мощными атаками, она все еще представляет собой большую угрозу. К тому времени, как вы закончите читать этот учебник, вы не только поймете, что DDoS-атака с усилением NTP, но и сможете защититься от нее..

Что такое усиление NTP?

Проще говоря, DDoS-атака с усилением NTP использует общедоступные серверы Network Time Protocol для перегрузки цели ботнетом. Для непосвященных ботнет представляет собой набор машин (называемых «зомби”), Которые используются в DDoS-атаке. Они контролируются злоумышленником с помощью командно-контрольного (C2) сервера и используют их большое количество для перегрузки цели. В случае усиления NTP, DDoS происходит через протокол пользовательских дейтаграмм (UDP). UDP не требует какого-либо ответа (например, трехстороннего рукопожатия SYN-SYN / ACK-ACK TCP / IP) для отправки пакетов. По этой причине проще создать ситуацию отказа в обслуживании (DoS), которая отключает сервер или сеть от сети..

Атака усиления NTP возможна из-за ошибки в дизайне протокола сетевого времени. NTP имеет встроенную службу мониторинга, которая позволяет системным администраторам проверять количество трафика подключенных клиентов. Используя команду «get monlist», злоумышленник может использовать возможности службы мониторинга, чтобы подделать свой адрес под адрес жертвы. Для справки, «monlist» позволяет администратору видеть около 600 самых последних клиентов, подключенных к серверу..

В конечном итоге происходит UDP трафик перегружает сервер и делает его неработоспособным. Администратор не мудр, поскольку считает весь трафик принадлежащим законному пользователю..

Хотя это краткий обзор, необходимо понимать пошаговую атаку NTP DDoS. Только тогда люди, отвечающие за серверы, могут научиться защищаться от него..

Как работает атака усиления NTP?

• Актер угрозы формирует ботнет с помощью множества методов, доступных сегодня (наиболее вероятным вариантом является заражение различных устройств вредоносным ПО)..
• Затем злоумышленник находит общедоступный NTP-сервер и определяет IP-адрес, который он примет как законный..
• Используя этот IP-адрес, субъект угрозы создает поддельные UDP-пакеты, которые должны отправляться компьютерами-ботнетами-зомби. Каждый UDP-пакет загружается командой «get monlist».
• Затем ботнет начинает отправку пакетов UDP, и благодаря комбинации постоянного притока вредоносного трафика сервер NTP начинает отвечать на огромное количество команд «get monlist».
• Сервер NTP быстро перегружен попыткой ответить на каждый неверно сформированный пакет UDP.
• Жертва постучалась в автономном режиме, и любой законный трафик не может пройти.

Как смягчается атака NTP-усиления?

Несчастная реальность с Атаки усиления NTP является то, что есть очень мало железных решений. Многое из этого связано с возрастом протокола. Старые протоколы подвержены более широкому использованию просто потому, что с тех пор количество угроз в 1980-х годах возросло в геометрической прогрессии. У нас есть компьютеры с вычислительной мощностью, из-за чего старые компьютеры кажутся примитивными технологиями. Когда в середине 1990-х годов Интернет стал общедоступным, идея сотовых телефонов, подобных тем, которые мы имеем сегодня, считалась научной фантастикой. С другими интеллектуальными устройствами, подключенными к Интернету вещей, создание ботнета стало проще, чем когда-либо прежде.

Есть, однако, некоторые вещи, которые можно сделать, чтобы смягчить DDoS-атаку усиления NTP. Как часто отмечалось в этом отчете, команда «monlist» является ключом к использованию NTP-сервера. В зависимости от используемого сервера можно установить патч, который отключает команду «monlist». Сложность в том, что патч должен быть 4.2.7 или выше. Многие NTP-серверы являются устаревшими и не могут поддерживать этот патч. Таким образом, существует другой обходной путь, который должен быть реализован для смягчения последствий. На общедоступном NTP-сервере US-CERT рекомендует устаревшим системам ввести команду «noquery» в конфигурацию системы «restrict default». При правильном выполнении команда «monlist» будет отключена.

Эта тактика смягчения может все еще быть недостаточно. В зависимости от размера вашей организации может потребоваться использование сторонних услуг. Правильно развернутая атака ботнета может нанести вред даже самым сильным сетям. Поскольку это так, может потребоваться сторонняя служба, которая может рассеивать сетевой трафик. После этого нагрузка на сервер будет превышать целевую сеть, а вместо этого будет сниматься часть тепла, чтобы поддельный трафик не достигал одного и того же сервера..

Узнайте больше о DDoS