NTP-versterking DDoS-aanval

Die Network Time Protocol (NTP) is een van die oudste protokolle wat vandag nog op die internet gebruik word. Dit is die eerste keer in die middel van die tagtigerjare gebruik toe dit deur David L. Mills van die Universiteit van Delaware geskep is. Mills, wat wyd erken word as ‘n internetpionier, het probeer om ‘n internetprotokol (IP) te skep wat die interne klok van ‘n rekenaar synchroniseer.

Sedert die ontstaan ​​van die NTP-protokol is daar baie misbruik en misbruik gesien. Dit kan waarskynlik teruggevoer word na die jaar 2002. In ‘n meer onlangse tyd het ‘n spesifieke soort diensverspreiding-ontkenning (DDoS aanval), wat die NTP-protokol gebruik, het ‘n immer teenwoordige bedreiging geword. Alhoewel die idee van NTP-versterking is nie nuut nie, aangesien hackers sedert die jaar 2014 suksesvol tallose teikens daarmee gehad het.

Die belangrikste insident waarby ‘n NTP-versterking DDoS betrokke was, was in 2014, waar Cloudflare-bedieners direk geteiken is deur ‘n DDoS-aanval wat selfs die uitvoerende hoof van die maatskappy ontstel het (hy noem dit “die begin van lelike dinge wat kom”). Destyds, om 400 Gbps, dit was een van die grootste DDoS-aanvalle ooit. Vir ‘n aanval om ‘n maatskappy wat bekend is vir sterk DDoS-beskerming te verras, moet dit u ‘n idee gee van hoe kragtig NTP-versterking kan wees.

Aangesien dit die geval is, is dit noodsaaklik dat veiligheidsmedewerkers en leiers in beheer van die veiligheidsbeleid NTP-versterking aanvalle moet verstaan. Alhoewel die aanval deur ander, kragtiger aanvalle oorskadu is, is dit steeds ‘n groot bedreiging. Nadat u hierdie primer klaar gelees het, sal u nie net ‘n NTP-versterking DDoS-aanval verstaan ​​nie, maar ook daarteen kan verdedig.

Wat is ‘n NTP-versterking aanval?

‘N DTP-aanval op NTP-aanval, eenvoudig gestel, ontgin openbare Network Time Protocol-bedieners om ‘n teiken met ‘n botnet te oorlaai. Vir die oningewydes is ‘n botnet ‘n stel masjiene (genaamd “zombies”) Wat in ‘n DDoS-aanval gebruik word. Hulle word beheer deur die aanvaller met behulp van ‘n Command-and-Control (C2) -bediener en gebruik hul groot getalle om ‘n teiken te oorlaai. In die geval van ‘n NTP-versterking, is die DDOS vind plaas via die User Datagram Protocol (UDP). UDP het geen antwoord nodig nie (soos die TCP / IP-drie-rigting SYN-SYN / ACK-ACK-handdruk) om pakkies te stuur. Om hierdie rede is dit makliker om ‘n DenS-of-Service (DoS) -situasie te skep wat ‘n bediener of netwerk op die regte pad laat klop.

Die NTP-versterkingsaanval is moontlik weens ‘n fout in die ontwerp van die Network Time Protocol. NTP het ‘n inherente moniteringsdiens waarmee sysadmins verkeerstellings van gekoppelde kliënte kan nagaan. Met die opdrag ‘kry monlist’, kan ‘n aanvaller die vermoë van hierdie moniteringsdiens benut om hul adres as dié van die slagoffer te bedrieg. Ter verwysing, ‘monlist’ laat ‘n administrateur toe dat ongeveer 600 van die mees onlangse kliënte na die bediener gekoppel is.

Wat uiteindelik gebeur, is die UDP verkeer oorlaai die bediener en maak dit onbruikbaar. Die administrateur is nie wyser nie, aangesien hulle sien dat al die verkeer aan ‘n wettige gebruiker behoort.

Alhoewel dit ‘n kort oorsig is, is dit noodsaaklik om die NTP DDoS-aanval stap vir stap te verstaan. Eers dan kan individue in beheer van bedieners leer hoe om daarteen te verdedig.

Hoe werk ‘n NTP-versterking aanval?

  • ‘N Bedreigingsakteur vorm ‘n botnet deur die vele beskikbare metodes (besmetting van verskillende toestelle met malware is die waarskynlikste opsie).
  • Die aanvaller vind dan ‘n openbaar beskikbare NTP-bediener en bepaal ‘n IP-adres wat hy as wettig sal aanvaar.
  • Deur gebruik te maak van hierdie IP-adres, het die bedreiging van akteurshandels UDP-pakkies bedrieg wat deur die botnet-zombiemasjiene gestuur moet word. Elke UDP-pakket word gelaai met die opdrag ‘kry monlist’.
  • Die botnet begin dan die UDP-pakkies stuur, en danksy die kombinasie van die konstante toestroming van kwaadwillige verkeer, begin die NTP-bediener reageer op ‘n enorme hoeveelheid opdragte “kry monlist”..
  • Die NTP-bediener word vinnig oorweldig deur te probeer reageer op elke misvormde UDP-pakket.
  • Die slagoffer word op die regte pad geklop en enige wettige verkeer kan nie deurkom nie.

Hoe word ‘n NTP Amplification Attack verminder??

Die ongelukkige werklikheid met NTP-versterking aanvalle is dat daar baie min ysterbedekte oplossings is. Baie hiervan het te make met die ouderdom van die protokol. Ouer protokolle is op groter skaal blootgestel aan uitbuiting bloot omdat dreigemente in die 1980’s sedertdien eksponensieel vermenigvuldig het. Ons het rekenaars met verwerkingskrag wat rekenaars van ouds soos primitiewe tegnologie laat lyk. Toe die internet in die middel van die negentigerjare openbaar geword het, sou die idee van selfone soos dié van ons vandag as wetenskapfiksie beskou word. Met ander slimtoestelle wat almal met die Internet-of-Things verbind, is botnet-skepping makliker as ooit tevore.

Daar is egter ‘n paar dinge wat gedoen kan word om ‘n DTP-aanval op die NTP-versterking te verlig. Soos gereeld in hierdie verslag opgemerk is, is die ‘monlist’-opdrag die sleutel tot die ontginning van ‘n NTP-bediener. Afhangend van die gebruikte bediener, is dit moontlik om ‘n pleister te installeer wat die opdrag “monlist” deaktiveer. Die moeilike ding hiermee is dat die pleister 4.2.7 of hoër moet wees. Baie NTP-bedieners is oud-bedieners en kan nie hierdie pleister ondersteun nie. As sodanig is daar ‘n ander oplossing wat geïmplementeer moet word vir versagting. Op ‘n NTP-bediener wat na die publiek kyk, beveel US-CERT aan dat oudste stelsels die ‘noquery’-opdrag invoer tot die’ restrict default ‘stelselkonfigurasie. As dit behoorlik uitgevoer word, sal dit die ‘monlist’-opdrag deaktiveer.

Hierdie versagtingstaktieke is miskien steeds nie voldoende nie. Afhangend van die grootte van u organisasie, kan dit nodig wees om dienste van derdes in diens te neem. Selfs die sterkste netwerke kan vermink word deur ‘n behoorlik ontplooide botnetaanval. Aangesien dit die geval is, kan ‘n derdeparty-diens wat netwerkverkeer kan versprei, nodig wees. Dit plaas dan die bediener se vrag op meer as net die geteikende netwerk, en neem eerder die hitte af sodat die bedrieglike verkeer nie almal dieselfde bediener bereik nie..

Kom meer te wete oor DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me