NTP gücləndirmə DDoS hücumu

Şəbəkə Saatı Protokolu (NTP) bu gün də internetdə hələ də istifadə edilən ən qədim protokollardan biridir. İlk dəfə 1980-ci illərin ortalarında Delaver Universitetinin David L. Mills tərəfindən yaradıldığı zaman istifadə edilmişdir. Geniş bir internet pioneri kimi tanınan Mills, kompüterin daxili saatını sinxronlaşdıran bir internet protokolu (IP) yaratmağa çalışdı..

NTP protokolu yarandığı gündən bəri çox sui-istifadə və sui-istifadə hallarını gördü. Bunu mübahisəli şəkildə 2002-ci ilə təsadüf etmək olar. Son dövrlərdə xidmətin müəyyən bir növüDDoS hücumu), NTP protokolundan istifadə edən, həmişə mövcud olan bir təhlükəyə çevrildi. Fikri olsa da NTP gücləndirilməsi yeni deyil, 2014-cü ildən bəri, hakerlər DDoS-un saysız hədəflərini uğurla aldılar.

Bir NTP gücləndirmə DDoS ilə əlaqəli ən əhəmiyyətli hadisə 2014-cü ildə oldu, burada Cloudflare serverləri birbaşa şirkətin baş direktorunu həyəcanlandıran bir DDoS hücumu hədəf aldı. Bu zaman, at 400 Gbit / s, bu, indiyə qədər ən böyük DDoS hücumlarından biri idi. Güclü DDoS qoruması ilə tanınan bir kompaniyanı təəccübləndirmək üçün bir hücum üçün bu NTP gücləndiricisinin nə qədər güclü olacağına dair bir fikir verməlidir..

Bu vəziyyət olduğu kimi, təhlükəsizlik mütəxəssisləri və təhlükəsizlik siyasətinin rəhbərləri üçün NTP gücləndirmə hücumlarını başa düşmək çox vacibdir. Hücum digər, daha güclü hücumlarla kölgədə qalsa da, yenə də çox təhlükəlidir. Bu astarı oxuduğunuz zaman, yalnız bir NTP gücləndirmə DDoS hücumunu başa düşməyəcəksiniz, həm də ona qarşı müdafiə edə biləcəksiniz.

Bir NTP gücləndirmə hücumu nədir?

Bir NTP gücləndirmə DDoS hücumu, sadəcə olaraq, botnetlə hədəfi həddən artıq yükləmək üçün ictimai Şəbəkə Zamanı Protokol serverlərindən istifadə edir. Başlanmayanlar üçün bir botnet maşınlar dəstidir (zombi”) Bir DDoS hücumunda istifadə olunur. Komanda və İdarəetmə (C2) serverindən istifadə edərək təcavüzkar tərəfindən idarə olunur və çox sayda hədəfi yükləmək üçün istifadə olunur. Bir NTP gücləndirmə vəziyyətində DDoS İstifadəçi Datagram Protokolu (UDP) vasitəsilə baş verir. Paket göndərmək üçün UDP heç bir cavab tələb etmir (TCP / IP üç tərəfli SYN-SYN / ACK-ACK əl uzatması kimi). Bu səbəbdən bir serveri və ya şəbəkəni oflayn idarə edən bir xidmətdən imtina (DoS) vəziyyəti yaratmaq daha asandır.

NTP gücləndirmə hücumu Şəbəkə Zamanı Protokolunun dizaynındakı bir arızaya görə mümkündür. NTP, syadadmins-ə qoşulmuş müştərilərin trafik sayını yoxlamağa imkan verən özünəməxsus bir monitorinq xidmətinə malikdir. “Monlist əldə et” əmrindən istifadə edərək, təcavüzkar bu monitorinq xidmətinin öz ünvanlarını zərər çəkmiş şəxsin ünvanına çevirmək üçün istifadə edə bilər. Məlumat üçün, “monlist” bir idarəçiyə serverə qoşulmaq üçün ən son 600 müştərini təxminən 600 dəfə görməyə imkan verir.

Nəticədə nə olur UDP trafik serveri çox yükləyir və onu yararsız hala gətirir. İdarəçi, bütün trafikin qanuni bir istifadəçiyə aid olduğunu gördükləri üçün ağıllı deyil.

Bu qısa bir araşdırma olsa da, NTP DDoS hücumunu addım-addım başa düşmək lazımdır. Yalnız bundan sonra serverlərə cavabdeh olan şəxslər bundan necə qorunmağı öyrənə bilərlər.

Bir NTP gücləndirmə hücumu necə işləyir?

  • Bir təhlükə aktyoru bu gün mövcud olan bir çox üsulla botnet təşkil edir (müxtəlif cihazları zərərli proqramla yoluxdurmaq ən çox ehtimal olunan seçimdir).
  • Təcavüzkar daha sonra açıq bir NTP server tapır və qanuni olaraq qəbul edəcəyi bir IP ünvanını təyin edir.
  • Bu IP adresindən istifadə edərək, təhdid edən aktyor botnet zombi maşınları tərəfindən göndəriləcək UDP paketlərini korlayır. Hər UDP paketi “get monlist” əmri ilə yüklənir.
  • Bundan sonra botnet UDP paketlərini göndərməyə başlayır və zərərli trafikin daimi axınının birləşməsi sayəsində NTP server çox sayda “monlist edin” əmrlərinə cavab verməyə başlayır..
  • NTP serveri, hər bir yararsız UDP paketinə cavab verməyə çalışmaqdan tez tələsir.
  • Zərərçəkmiş oflayn olaraq döyülür və istənilən qanuni trafik keçə bilmir.

Bir NTP gücləndirmə hücumu necə azaldılır??

Bədbəxt reallıq NTP gücləndirmə hücumları çox az temirli məhlulların olmasıdır. Bunun bir çoxu protokolun yaşı ilə əlaqəlidir. Köhnə protokollar 1980-ci illərdə mövcud olan təhdidlər o vaxtdan bəri eksponent olaraq çoxaldığından daha böyük miqyasda istismara meyllidirlər. Köhnə kompüterləri ibtidai texnologiyaya bənzər hala gətirən emal gücü olan kompüterlərimiz var. 1990-cı illərin ortalarında internet ictimailəşəndə, bu günkü kimi mobil telefonlar ideyası elmi fantastika sayılacaq. Hər şeyin İnternetə qoşulduğu digər ağıllı cihazlarla botnet yaratmaq əvvəlkindən daha asandır.

Bununla birlikdə, bir NTP gücləndirmə DDoS hücumunu azaltmaq üçün edilə biləcək bəzi şeylər var. Bu hesabat ərzində tez-tez qeyd edildiyi kimi, “monlist” əmri NTP serverini istismar etmək üçün açardır. İstifadə olunan serverdən asılı olaraq “monlist” əmrini ləğv edən bir yamaq quraşdırmaq mümkündür. Bununla çətin məqam budur ki, yamaq 4.2.7 və ya daha yuxarı olmalıdır. Bir çox NTP server köhnə serverlərdir və bu yamağı dəstəkləyə bilmir. Bu şəkildə azaldılması üçün həyata keçirilməli olan başqa bir həll yolu var. Xalqa baxan NTP serverində, US-CERT, köhnə sistemlərə “soruşma” əmrini “məhdudlaşdırmaq standart” sistem konfiqurasiyasına girməyi tövsiyə edir. Düzgün icra olunarsa, “monlist” əmrini ləğv edəcəkdir.

Bu yumşaldıcı taktikalar hələ də yetərli olmaya bilər. Təşkilatınızın ölçüsündən asılı olaraq üçüncü tərəf xidmətlərindən istifadə etmək lazım ola bilər. Düzgün yerləşdirilmiş botnet hücumu ilə hətta ən güclü şəbəkələrin də əli ola bilər. Bu vəziyyətdə olduğu kimi, şəbəkə trafikini səpələyə bilən üçüncü bir xidmət lazım ola bilər. Daha sonra server yüklənməsini yalnız hədəflənmiş şəbəkəyə daha çox yükləyəcək və əvəzində trafikin hamısı eyni serverə çatmaması üçün istiliyin bir hissəsini götürəcəkdir.

DDoS haqqında daha çox məlumat əldə edin

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me