Pag-atake ng NTP Amplification DDoS


Pag-atake ng NTP Amplification DDoS

Ang Network Time Protocol (NTP) ay isa sa mga pinakalumang protocol na ginagamit pa rin sa internet ngayon. Una itong ginamit noong kalagitnaan ng 1980s nang nilikha ito ng University of Delaware ni David L. Mills. Ang mga mills, na malawak na kinikilala bilang isang tagapanguna sa internet, ay naghangad na lumikha ng isang protocol sa internet (IP) na nag-synchronize sa panloob na orasan ng isang computer.


Ang protocol ng NTP ay nakakita ng labis na pang-aabuso at maling paggamit mula nang ito ay umpisa. Maaari itong masubaybayan pabalik sa taong 2002. Sa mga kamakailan-lamang na beses, isang partikular na uri ng Distributed-Denial-of-Service (Pag-atake ng DDoS), na gumagamit ng protocol ng NTP, ay naging isang palaging banta. Kahit na ang ideya ng NTP amplification hindi bago, mula noong taong 2014, matagumpay na ang mga hacker ay hindi mabilang na mga target ng DDoS.

Ang pinaka makabuluhang insidente na kinasasangkutan ng isang NTP amplification DDoS ay noong 2014, kung saan ang mga server ng Cloudflare ay direktang na-target ng isang atake ng DDoS na nag-alala kahit na ang CEO ng kumpanya (tinawag niya itong “pagsisimula ng mga pangit na darating”). Sa oras, sa 400 Gbps, ito ay isang beses sa pinakamalaking pag-atake ng DDoS kailanman. Para sa isang pag-atake upang sorpresa ang isang kumpanya na kilala para sa malakas na proteksyon ng DDoS, dapat itong bigyan ka ng ilang ideya kung paano maaaring maging malakas ang pagpapalakas ng NTP.

Tulad nito, mahalaga para sa mga propesyonal sa seguridad at pinuno na namamahala sa patakaran ng seguridad upang maunawaan ang mga pag-atake ng pagpapalakas ng NTP. Kahit na ang pag-atake ay napapamalayan ng iba, mas malakas na pag-atake, ito ay napakaraming pagbabanta. Sa oras na tapos ka na basahin ang panimulang aklat na ito, hindi mo lamang maiintindihan ang isang pag-atake ng DTPo DDoS na NTP, ngunit magagawang ipagtanggol laban dito.

Ano ang isang NTP Amplification Attack?

Ang isang pag-atake ng DTPo DDoS, inilagay lang, sinasamantala sa publiko ang mga server ng Network Time Protocol upang mag-overload ang isang target na may isang botnet. Para sa mga hindi natuto, ang isang botnet ay isang hanay ng mga makina (tinawag na “mga zombie“) Na ginagamit sa isang pag-atake ng DDoS. Kinokontrol sila ng attacker gamit ang isang Command-and-Control (C2) server at gagamitin ang kanilang malaking bilang upang ma-overload ang isang target. Sa kaso ng isang pagpapalakas ng NTP, ang DDoS nangyayari sa pamamagitan ng User Datagram Protocol (UDP). Ang UDP ay hindi nangangailangan ng anumang tugon (tulad ng TCP / IP na three-way na SYN-SYN / ACK-ACK handshake) upang magpadala ng mga packet. Para sa kadahilanang ito, mas madaling lumikha ng isang sitwasyon sa pagtanggi (Service of DoS) na pagtanggi sa isang server o network offline.

Ang pag-atake ng pagpapalakas ng NTP ay posible dahil sa isang kapintasan sa disenyo ng Network Time Protocol. Ang NTP ay may isang likas na serbisyo sa pagsubaybay na nagpapahintulot sa mga sysadmins na suriin ang mga bilang ng trapiko ng mga konektadong kliyente. Gamit ang “get monlist” na utos, ang isang magsasalakay ay maaaring magamit ang mga kakayahan ng serbisyo sa pagsubaybay na ito upang madala ang kanilang address upang maging iyon ng biktima. Para sa sanggunian, ang “monlist” ay nagbibigay-daan sa isang administrator upang makita ang halos 600 sa pinakabagong mga kliyente na kumonekta sa server.

Ang mangyayari sa huli ay ang UDP Ang trapiko ay naglo-load ng server at hindi ito naaangkop. Ang tagapangasiwa ay hindi mas matalino dahil nakikita nila ang lahat ng trapiko bilang kabilang sa isang lehitimong gumagamit.

Habang ito ay isang maikling pangkalahatang-ideya, kinakailangan upang maunawaan ang pag-atake ng NTP DDoS na sunud-sunod. Pagkatapos lamang ang mga indibidwal na namamahala sa mga server ay malaman kung paano ipagtanggol laban dito.

Paano gumagana ang isang NTP Amplification Attack Work?

  • Ang isang banta na aktor ay bumubuo ng isang botnet sa pamamagitan ng maraming mga pamamaraan na magagamit ngayon (ang pag-impeksyon sa iba’t ibang mga aparato na may malware ang pinaka-malamang na pagpipilian).
  • Ang attacker pagkatapos ay makahanap ng isang magagamit na pampublikong NTP server at tinutukoy ang isang IP address na tatanggapin nito bilang lehitimo.
  • Gamit ang IP address na ito, ang banta ng aktor ng banta ay nasamsam ng mga pack ng UDP na ipadala ng botnet zombie machine. Ang bawat pack ng UDP ay puno ng utos na “makakuha ng monlist”.
  • Ang botnet pagkatapos ay nagsisimula sa pagpapadala ng mga pack ng UDP, at salamat sa kumbinasyon ng patuloy na pag-agos ng nakakahamak na trapiko, ang NTP server ay nagsisimula sa pagtugon sa isang napakalaking halaga ng “kumuha ng monlist” na mga utos..
  • Ang NTP server ay mabilis na nalulula sa pagsisikap na tumugon sa bawat malformed UDP packet.
  • Ang biktima ay kumatok sa offline at anumang ligal na trapiko ay hindi makakalampas.

Paano ang isang NTP Amplification Attack na Nababawas?

Ang kapus-palad na katotohanan na may Pag-atake ng pagpapalakas ng NTP ay may napakakaunting mga solusyon sa ironclad. Ang isang pulutong nito ay may kinalaman sa edad ng protocol. Ang mga mas lumang mga protocol ay madaling kapitan ng pagsasamantala sa isang mas malaking sukat dahil lamang sa mga banta na naroroon noong 1980s ay dumami nang malaki mula noon. Mayroon kaming mga computer na may lakas na pagproseso na gumagawa ng mga computer ng matanda ay parang primitive na teknolohiya. Kapag ang internet ay nagpunta publiko sa kalagitnaan ng 1990s, ang ideya ng mga cellular phone tulad ng mga mayroon tayo ngayon ay maituturing na fiction sa agham. Sa iba pang mga matalinong aparato lahat ng pagkonekta sa Internet-of-Things, mas madali ang paglikha ng botnet kaysa dati.

Mayroong, gayunpaman, ang ilang mga bagay na maaaring gawin upang mapagaan ang isang pag-atake ng DTP ng DDoS. Tulad ng madalas na nabanggit sa buong ulat na ito, ang utos na “monlist” ay susi sa pagsasamantala sa isang server ng NTP. Depende sa server na ginamit, posible na mag-install ng isang patch na hindi pinapagana ang “monlist” na utos. Ang nakakalito na bagay na ito ay ang patch ay dapat na 4.2.7 o mas mataas. Maraming mga NTP server ang mga legacy server at hindi maaaring suportahan ang patch na ito. Tulad nito, mayroong isa pang workaround na dapat ipatupad para sa pag-iwas. Sa isang server na nakaharap sa publiko, inirerekumenda ng US-CERT ang mga system ng legacy na ipasok ang “noquery” na utos sa “paghihigpit ng default” na pagsasaayos ng system. Kung naisakatuparan nang maayos, i-disable ang utos na “monlist”.

Ang mga taktika na ito sa pagpapagaan ay maaaring hindi pa sapat. Depende sa laki ng iyong samahan, maaaring kailanganin upang gumamit ng mga serbisyo ng third-party. Kahit na ang pinakamalakas na network ay maaaring ma-lumpat ng isang maayos na na-deploy na botnet attack. Tulad ng nangyari, ang isang serbisyo ng third-party na maaaring magkalat ng trapiko sa network ay maaaring kailanganin. Pagkatapos ay mailalagay nito ang pag-load ng server nang higit pa sa na-target na network, at sa halip ay kukuha ng ilan sa init upang ang mga nasamsam na trapiko ay hindi lahat maabot ang parehong server.

Dagdagan ang nalalaman tungkol sa DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map