NTP Amplifikimi DDoS Sulmi

Protokolli i Rrjetit Koha (NTP) është një nga protokollet më të vjetër që përdoret ende në internet sot. Ajo u përdor për herë të parë gjatë mesit të viteve 1980 kur u krijua nga David L. Mills i Universitetit të Delaware. Mills, i cili njihet gjerësisht si një pionier në internet, kërkoi të krijojë një protokoll në internet (IP) që sinkronizon orën e brendshme të një kompjuteri.

Protokolli i NTP-së ka parë një abuzim dhe keqpërdorim të madh që nga fillimi i tij. Kjo mund të gjurmohet në mënyrë të diskutueshme që në vitin 2002. Në kohët më të fundit, një lloj i veçantë i Shpërndarjes-Refuzimi i Shërbimit (Sulmi DDoS), i cili përdor protokollin NTP, është bërë një kërcënim gjithnjë. Megjithëse ideja e Amplifikimi i NTP nuk është e re, që nga viti 2014, hakerat kanë suksesshëm shënjestra të panumërta të DDoS me të.

Incidenti më domethënës që përfshin një DDoS të amplifikimit të NTP ishte në vitin 2014, ku serverët Cloudflare u vunë në shënjestër të drejtpërdrejtë nga një sulm DDoS që alarmoi madje edhe Drejtorin e Përgjithshëm të kompanisë (ai e quajti atë “fillimi i gjërave të shëmtuara që do të vijnë”). Në atë kohë, në 400 Gbps, kjo ishte dikur nga sulmet më të mëdha të DDoS ndonjëherë. Për një sulm për të befasuar një kompani të njohur për mbrojtje të fortë DDoS, kjo duhet t’ju japë disa ide se sa mund të jetë amplifikimi i fuqishëm i NTP.

Meqenëse ky është rasti, është me rëndësi jetike për profesionistët e sigurisë dhe drejtuesit përgjegjës të politikës së sigurisë të kuptojnë sulmet e amplifikimit të NTP. Megjithëse sulmi ka qenë në hije nga sulme të tjera, më të fuqishme, ai është akoma shumë kërcënim. Deri në kohën kur të keni mbaruar së lexuari këtë abetare, nuk do të kuptoni thjesht një sulm të amplifikimit të NTP të DTP, por gjithashtu do të jeni në gjendje të mbroni kundër tij.

Farë është një sulm i amplifikimit NTP?

Një sulm i DDoS për amplifikimin NTP, e thënë thjesht, shfrytëzon serverët e Protokollit të Kohës në Rrjetin Publik për të mbingarkuar një objektiv me një botnet. Për të pa initiuarit, një botnet është një grup makinerish (i quajtur “zombies“) Që përdoren në një sulm të DDoS. Ato kontrollohen nga sulmuesi duke përdorur një server Command-and-Control (C2) dhe përdorin numrat e tyre të mëdhenj për të mbingarkuar një objektiv. Në rastin e një amplifikimi të NTP, DDoS ndodh përmes Protokollit të të Dhënave të Përdoruesve (UDP). UDP nuk kërkon ndonjë përgjigje (siç është shtrëngimi i shtrënguar nga TCP / IP i treanshëm SYN-SYN / ACK-ACK) për të dërguar pako. Për këtë arsye, është më e lehtë të krijoni një situatë të mohimit të shërbimit (DoS) që troket një server ose rrjet offline.

Sulmi i amplifikimit të NTP është i mundur për shkak të një defekti në hartimin e Protokollit të Rrjetit Kohor. NTP ka një shërbim të qenësishëm të monitorimit që lejon sysadminet të kontrollojnë numrat e trafikut të klientëve të lidhur. Duke përdorur komandën “get monlist”, një sulmues mund të përdorë aftësitë e këtij shërbimi monitorimi për të prishur adresën e tyre për të qenë ai i viktimës. Për referencë, “monlist” i lejon një administratori të shohë afro 600 nga klientët më të fundit për t’u lidhur me serverin.

Ajo që ndodh përfundimisht është UDP trafiku mbingarkon serverin dhe e bën atë jo të funksionueshëm. Administratori nuk është askush më i mençur pasi i sheh të gjithë trafikun se i përket një përdoruesi të ligjshëm.

Ndërsa ky është një përmbledhje e shkurtër, është e nevojshme të kuptohet sulmi NTP DDoS hap pas hapi. Vetëm atëherë individët përgjegjës për serverat mund të mësojnë se si të mbrohen kundër tij.

Si funksionon një sulm i amplifikimit NTP?

  • Një aktor kërcënimi formon një botnet përmes shumë metodave të mundshme sot (infektimi i pajisjeve të ndryshme me malware është opsioni më i mundshëm).
  • Sulmuesi më pas gjen një server NTP të disponueshëm publikisht dhe përcakton një adresë IP që do ta pranojë si legjitime.
  • Duke përdorur këtë adresë IP, zejtarët e aktorit kërcënues kanë shkatërruar paketat UDP që të dërgohen nga makinat e motoçikletave botnet. Eachdo paketë UDP është e ngarkuar me komandën “get monlist”.
  • Botnet më pas fillon të dërgojë paketat UDP, dhe falë kombinimit të fluksit të vazhdueshëm të trafikut me qëllim të keq, serveri NTP fillon të përgjigjet për një sasi të madhe të komandave “get monlist”.
  • Serveri NTP shpejt bëhet i mbingarkuar në përpjekjen për t’iu përgjigjur secilës paketë UDP të keqformuar.
  • Viktima është trokitur jashtë linje dhe çdo trafik i ligjshëm nuk është në gjendje të kalojë.

Si zbutet Sulmi i Amplifikimit NTP?

Realiteti fatkeq me Sulmet e amplifikimit të NTP është se ka shumë pak zgjidhje hekuri. Shumë nga kjo kanë të bëjnë me moshën e protokollit. Protokollet e vjetra janë të prirur për shfrytëzim në një shkallë më të madhe thjesht sepse kërcënimet e pranishme në vitet ’80 janë shumëfishuar në mënyrë eksponenciale që nga atëherë. Kemi kompjuterë me fuqi përpunuese që i bëjnë kompjuterët e vjetër duken si teknologji primitive. Kur interneti doli në publik në mesin e viteve 1990, ideja e telefonave celularë si ato që kemi sot do të konsiderohej si trillim shkencor. Me pajisjet e tjera inteligjente të gjitha që lidhen me Internet-of-Things, krijimi i botnet është më i lehtë se kurrë më parë.

Sidoqoftë, ka disa gjëra që mund të bëhen për të zbutur një sulm të amplifikimit të NTP të NTP. Siç u vu re shpesh gjatë këtij raporti, komanda “monlist” është thelbësore për të shfrytëzuar një server NTP. Në varësi të serverit të përdorur, është e mundur të instaloni një copë toke që çaktivizon komandën “monlist”. Gjëja e ndërlikuar me këtë është se patch duhet të jetë 4.2.7 ose më lart. Shumë serverë NTP janë serverë të trashëguar dhe nuk mund ta mbështesin këtë pjesë. Si i tillë, ekziston një rrugëdalje tjetër që duhet të zbatohet për zbutje. Në një server të përballur me publikun NTP, US-CERT rekomandon sistemet e trashëgimisë të dhëna komandën “noquery” në konfigurimin e sistemit “kufizo parazgjedhur”. Nëse ekzekutohet si duhet, ai do të çaktivizojë komandën “monlist”.

Këto taktika lehtësuese ende mund të mos jenë të mjaftueshme. Në varësi të madhësisë së organizatës tuaj, mund të jetë e nevojshme të përdorni shërbime të palëve të treta. Edhe rrjetet më të forta mund të gjymtohen nga një sulm i vendosur siç duhet botnet. Siç është rasti, një shërbim i palëve të treta që mund të shpërndajnë trafikun e rrjetit mund të jetë i nevojshëm. Pastaj do të vendosë ngarkesën e serverit mbi më shumë se sa rrjetin e synuar, dhe në vend të kësaj të heq pak nga nxehtësia në mënyrë që trafiku i prishur të mos arrijë të gjithë në të njëjtin server.

Mësoni më shumë rreth DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me