NTP Amplification DDoS Attack


NTP Amplification DDoS Attack

Network Time Protocol (NTP) เป็นหนึ่งในโปรโตคอลที่เก่าแก่ที่สุดที่ยังคงใช้งานบนอินเทอร์เน็ตในปัจจุบัน มันถูกใช้ครั้งแรกในช่วงกลางทศวรรษ 1980 เมื่อมันถูกสร้างขึ้นโดย David L. Mills ของมหาวิทยาลัยเดลาแวร์ Mills ซึ่งเป็นที่รู้จักอย่างกว้างขวางในฐานะผู้บุกเบิกอินเทอร์เน็ตพยายามสร้างอินเทอร์เน็ตโปรโตคอล (IP) ที่ประสานนาฬิกาภายในของคอมพิวเตอร์.

โพรโทคอล NTP ได้เห็นการใช้ในทางที่ผิดและการใช้ผิดวิธีนับตั้งแต่ก่อตั้งขึ้น สิ่งนี้สามารถตรวจสอบย้อนหลังไปถึงปี 2545 ในช่วงเวลาที่ผ่านมาประเภทของบริการที่ถูกปฏิเสธการให้บริการ (การโจมตี DDoS) ซึ่งใช้โปรโตคอล NTP ได้กลายเป็นภัยคุกคามที่เคยมีอยู่ แม้ว่าความคิดของ เครื่องขยาย NTP ไม่ใช่เรื่องใหม่ตั้งแต่ปี 2557 แฮกเกอร์ประสบความสำเร็จในเป้าหมาย DDoS นับไม่ถ้วนด้วย.

เหตุการณ์ที่สำคัญที่สุดที่เกี่ยวข้องกับการขยาย NTP DDoS คือในปี 2014 ที่เซิร์ฟเวอร์ Cloudflare ได้รับการกำหนดเป้าหมายโดยตรงจากการโจมตี DDoS ที่น่าตกใจแม้แต่ซีอีโอของ บริษัท (เขาเรียกมันว่า ในเวลาที่ 400 Gbps, นี่เป็นครั้งหนึ่งของการโจมตี DDoS ที่ใหญ่ที่สุดเท่าที่เคยมีมา สำหรับการโจมตีเพื่อสร้างความประหลาดใจให้กับ บริษัท ที่รู้จักกันดีในเรื่องการป้องกัน DDoS ที่แข็งแกร่งนี่จะทำให้คุณมีความคิดว่าการขยาย NTP ที่ทรงพลังนั้นมีประโยชน์อย่างไร.

เช่นนี้เป็นเรื่องสำคัญสำหรับผู้เชี่ยวชาญด้านความปลอดภัยและผู้นำที่รับผิดชอบนโยบายความปลอดภัยเพื่อทำความเข้าใจกับการโจมตีของ NTP แม้ว่าการโจมตีจะถูกบดบังโดยผู้อื่น แต่การโจมตีที่ทรงพลังกว่าก็ยังคงเป็นภัยคุกคามมาก เมื่อคุณอ่านไพรเมอร์นี้เสร็จแล้วคุณจะไม่เพียง แต่เข้าใจการจู่โจม DDoS ของ NTP แต่ยังสามารถปกป้องมันได้.

การโจมตีของ NTP Amplification Attack คืออะไร?

การโจมตี DDoS ของ NTP ที่มีการขยายเพิ่มนั้นใช้ประโยชน์จากเซิร์ฟเวอร์ Network Time Protocol สาธารณะเพื่อล้นเป้าหมายด้วย botnet สำหรับมือใหม่ botnet เป็นชุดของเครื่อง (เรียกว่า“ซอมบี้”) ที่ใช้ในการโจมตี DDoS พวกเขาถูกควบคุมโดยผู้โจมตีโดยใช้เซิร์ฟเวอร์ Command-and-Control (C2) และใช้ตัวเลขจำนวนมากเพื่อโอเวอร์โหลดเป้าหมาย ในกรณีของการขยาย NTP DDoS เกิดขึ้นผ่าน User Datagram Protocol (UDP) UDP ไม่ต้องการการตอบสนองใด ๆ (เช่นการจับมือ TCP / IP แบบสามทาง SYN-SYN / ACK-ACK-ACK) เพื่อส่งแพ็กเก็ต ด้วยเหตุนี้จึงง่ายต่อการสร้างสถานการณ์ปฏิเสธการบริการ (DoS) ที่เคาะเซิร์ฟเวอร์หรือเครือข่ายออฟไลน์.

การโจมตีการขยาย NTP เป็นไปได้เนื่องจากข้อบกพร่องในการออกแบบโปรโตคอลเวลาเครือข่าย NTP มีบริการตรวจสอบโดยเนื้อแท้ที่อนุญาตให้ sysadmins ตรวจสอบจำนวนการรับส่งข้อมูลของไคลเอ็นต์ที่เชื่อมต่อ การใช้คำสั่ง“ รับรายชื่อ” ผู้โจมตีสามารถใช้ประโยชน์จากความสามารถของบริการตรวจสอบนี้เพื่อหลอกที่อยู่ของพวกเขาให้เป็นที่อยู่ของเหยื่อ สำหรับการอ้างอิง“ monlist” อนุญาตให้ผู้ดูแลระบบเห็นไคลเอนต์ล่าสุดเกือบ 600 แห่งเพื่อเชื่อมต่อกับเซิร์ฟเวอร์.

ในที่สุดสิ่งที่เกิดขึ้นคือ UDP ทราฟฟิกโอเวอร์โหลดเซิร์ฟเวอร์และทำให้ไม่สามารถใช้งานได้ ผู้ดูแลระบบไม่มีใครฉลาดเท่าที่พวกเขาเห็นการรับส่งข้อมูลทั้งหมดว่าเป็นของผู้ใช้ที่ถูกกฎหมาย.

ขณะนี้เป็นภาพรวมโดยย่อมีความจำเป็นต้องเข้าใจการโจมตี NTP DDoS ทีละขั้นตอน เฉพาะบุคคลที่รับผิดชอบเซิร์ฟเวอร์เท่านั้นที่จะเรียนรู้วิธีป้องกันได้.

NTP Amplification Attack ทำงานอย่างไร?

  • นักแสดงการคุกคามสร้างบ็อตเน็ตด้วยวิธีการต่าง ๆ ที่มีอยู่ในปัจจุบัน (ติดอุปกรณ์ต่าง ๆ ที่มีมัลแวร์เป็นตัวเลือกที่น่าจะเป็นไปได้มากที่สุด).
  • จากนั้นผู้โจมตีจะพบเซิร์ฟเวอร์ NTP ที่เปิดเผยต่อสาธารณะและกำหนดที่อยู่ IP ที่จะยอมรับว่าถูกต้องตามกฎหมาย.
  • ด้วยการใช้ที่อยู่ IP นี้งานฝีมือนักแสดงการคุกคามได้ปลอมแปลงแพ็กเก็ต UDP ที่จะส่งโดยเครื่องซอมบี้ botnet แต่ละแพ็คเก็ต UDP จะถูกโหลดด้วยคำสั่ง “รับ monlist”.
  • จากนั้นบ็อตเน็ตจะเริ่มส่งแพ็กเก็ต UDP และด้วยการผสมผสานการไหลเข้าของปริมาณการใช้งานที่เป็นอันตรายทำให้เซิร์ฟเวอร์ NTP เริ่มตอบสนองต่อคำสั่ง“ รับ monlist” จำนวนมหาศาล.
  • เซิร์ฟเวอร์ NTP ได้รับความนิยมอย่างรวดเร็วในการพยายามตอบกลับแพ็คเก็ต UDP ที่มีรูปแบบไม่ถูกต้อง.
  • เหยื่อถูกทำให้ออฟไลน์และทราฟฟิกที่ถูกต้องไม่สามารถผ่านได้.

NTP Amplification Attack Mitigated เป็นอย่างไร?

ความเป็นจริงที่โชคร้ายด้วย การโจมตีการขยาย NTP นั่นคือมีโซลูชั่น ironclad น้อยมาก สิ่งเหล่านี้เกี่ยวข้องกับอายุของโปรโตคอล โปรโตคอลที่เก่ากว่ามีแนวโน้มที่จะถูกเอารัดเอาเปรียบในระดับที่มากขึ้นเพราะภัยคุกคามที่เกิดขึ้นในช่วงปี 1980 มีทวีคูณทวีคูณตั้งแต่นั้นมา เรามีคอมพิวเตอร์ที่มีพลังในการประมวลผลที่ทำให้คอมพิวเตอร์ในสมัยก่อนดูเหมือนเทคโนโลยีดั้งเดิม เมื่ออินเทอร์เน็ตเข้าสู่สาธารณะในช่วงกลางทศวรรษที่ 1990 แนวคิดของโทรศัพท์มือถือเช่นที่เรามีในปัจจุบันจะถือเป็นนิยายวิทยาศาสตร์ ด้วยอุปกรณ์อัจฉริยะอื่น ๆ ทั้งหมดที่เชื่อมต่อกับ Internet-of-Things การสร้าง botnet นั้นง่ายกว่าที่เคยเป็นมา.

อย่างไรก็ตามมีบางสิ่งที่สามารถทำได้เพื่อลดการโจมตี NTP ของ DDoS ดังที่บันทึกไว้บ่อยครั้งในรายงานนี้คำสั่ง“ monlist” เป็นกุญแจสำคัญในการใช้ประโยชน์จากเซิร์ฟเวอร์ NTP ขึ้นอยู่กับเซิร์ฟเวอร์ที่ใช้เป็นไปได้ที่จะติดตั้งชุดข้อมูลแก้ไขที่ปิดการใช้งานคำสั่ง“ monlist” สิ่งที่ยุ่งยากกับสิ่งนี้คือแพตช์จะต้องเป็น 4.2.7 หรือสูงกว่า เซิร์ฟเวอร์ NTP จำนวนมากเป็นเซิร์ฟเวอร์ดั้งเดิมและไม่สามารถรองรับโปรแกรมแก้ไขนี้ได้ ดังนั้นจึงมีวิธีแก้ไขอื่นที่ต้องดำเนินการเพื่อบรรเทา บนเซิร์ฟเวอร์ NTP สาธารณะ US-CERT แนะนำระบบเดิมให้ป้อนคำสั่ง“ noquery” เพื่อกำหนดค่าระบบ“ จำกัด ค่าเริ่มต้น” หากดำเนินการอย่างถูกต้องก็จะปิดการใช้งานคำสั่ง “รายการ”.

กลยุทธ์บรรเทาผลกระทบเหล่านี้อาจยังไม่เพียงพอ อาจจำเป็นต้องใช้บริการของบุคคลที่สามทั้งนี้ขึ้นอยู่กับขนาดขององค์กรของคุณ แม้แต่เครือข่ายที่แข็งแกร่งที่สุดก็สามารถพิการได้ด้วยการโจมตีบ็อตเน็ตที่ปรับใช้อย่างเหมาะสม ในกรณีนี้บริการของ บริษัท อื่นที่สามารถกระจายการรับส่งข้อมูลเครือข่ายอาจมีความจำเป็น จากนั้นจะทำให้โหลดเซิร์ฟเวอร์มากกว่าเครือข่ายเป้าหมายและใช้ความร้อนบางส่วนเพื่อให้ปริมาณการรับส่งข้อมูลไม่ถึงเซิร์ฟเวอร์เดียวกันทั้งหมด.

เรียนรู้เพิ่มเติมเกี่ยวกับ DDoS