DDT napad Amplification NTP-a

Network Time Protocol (NTP) jedan je od najstarijih protokola koji se i danas koristi na internetu. Prvi put je korišten sredinom 1980-ih, kada ga je stvorio David L. Mills sa Sveučilišta u Delaveru. Mills, nadaleko prepoznat kao internetski pionir, pokušao je stvoriti internetski protokol (IP) koji sinkronizira unutarnji sat računala.

NTP protokol je vidio mnogo zlostavljanja i zlouporabe od svog osnutka. To se može zasigurno pratiti do 2002. godine. U novije vrijeme posebno je određena vrsta distribuirane ili uskraćene usluge (DDoS napad), koji koristi NTP protokol, postao je sve prisutnija prijetnja. Iako ideja o NTP pojačanje nije novo, od 2014. godine, hakeri su uspješno DDoS-u ubrojili bezbroj meta s njim.

Najznačajniji incident koji je uključivao DDTP pojačanje NTP-a dogodio se 2014. godine, gdje su Cloudflare serveri bili izravno na meti DDoS napada koji je alarmirao čak i izvršnog direktora tvrtke (nazvao ga je „početkom ružnih stvari koje dolaze“). U vrijeme, u 400 Gbps, ovo je bio jedan od najvećih DDoS napada ikad. Da bi napad iznenadio tvrtku poznatu po snažnoj DDoS zaštiti, ovo bi vam trebalo dati neku ideju o tome koliko moćno NTP pojačanje može biti.

Budući da je to slučaj, za sigurnosne stručnjake i vođe zadužene za sigurnosnu politiku od ključne je važnosti razumjeti napade pojačanja NTP-a. Iako je napad zasjenjen drugim, snažnijim napadima, još uvijek je velika prijetnja. Dok završite s čitanjem ovog primerka, nećete samo razumjeti DDoS napad pojačavanja NTP-a, nego ćete se moći i obraniti od njega.

Što je napad NTP pojačanja?

DDoS napad pojačavanja NTP pojačanja, jednostavnije, koristi javne mrežne poslužitelje protokola za preopterećenje cilja s botnetom. Za neupućene, botnet je skup strojeva (nazvanih “zombiji“) Koji se koriste u DDoS napadu. Kontrolira ih napadač pomoću poslužitelja Command-and-Control (C2) i koriste svoj veliki broj za preopterećenje cilja. U slučaju NTP pojačanja, the DDoS događa se putem User Datagram Protocol (UDP). UDP ne zahtijeva nikakav odgovor (poput TCP / IP trosmjernog SYN-SYN / ACK-ACK rukovanja) za slanje paketa. Iz tog je razloga lakše stvoriti situaciju uskraćivanja usluge (DoS) koja koči poslužitelj ili mrežu izvan mreže.

Napad pojačanja NTP je moguć zbog nedostatka u dizajnu mrežnog protokola. NTP ima inherentnu uslugu nadgledanja koja omogućuje sysadminima da provjere broj prometa povezanih klijenata. Pomoću naredbe “get monlist” napadač može iskoristiti sposobnost ove službe praćenja da prevari svoju adresu koja odgovara adresi žrtve. Za referencu, “monlist” omogućava administratoru da vidi otprilike 600 najnovijih klijenata za povezivanje s poslužiteljem.

Ono što se na kraju događa jest UDP promet preopterećuje poslužitelj i čini ga neradnim. Administrator nije ništa mudriji jer sav promet vidi kao legitiman korisnik.

Iako je ovo kratki pregled, potrebno je razumjeti NTP DDoS napad korak po korak. Tek tada pojedinci zaduženi za poslužitelje mogu naučiti kako se braniti od njega.

Kako djeluje NTP napad pojačanja?

  • Akter prijetnji stvara mrežnu mrežu putem mnogih danas dostupnih metoda (zaraza raznih uređaja zlonamjernim softverom je najvjerojatnija opcija).
  • Napadač tada nalazi javno dostupan NTP poslužitelj i određuje IP adresu koju će prihvatiti kao legitimnu.
  • Pomoću ove IP adrese, akter prijetnji osmislio je UDP pakete koje će poslati botnet zombi strojevi. Svaki UDP paket učitava se naredbom “get monlist”.
  • Bonetnet tada počinje slati UDP pakete, a zahvaljujući kombinaciji stalnog priliva zlonamjernog prometa, NTP poslužitelj počinje reagirati na ogromnu količinu naredbi “get monlist”.
  • NTP poslužitelj se brzo pretvara u pokušaj reagiranja na svaki nepravilno oblikovan UDP paket.
  • Žrtva je isključena izvan mreže i nijedan zakoniti promet ne može proći.

Kako se ublažava napad pojačanja NTP-a?

Nesretna stvarnost sa Napadi pojačanja NTP-a jest da postoji vrlo malo rješenja za željezo. Mnogo toga ima veze s dobi protokola. Stariji protokoli skloni su eksploataciji u većem obimu samo zato što su se prijetnje prisutne u 1980-im godinama eksponencijalno množile. Imamo računala s procesorskom snagom koja računala čini starim kao primitivna tehnologija. Kada je sredinom 1990-ih Internet postao javno dostupan, ideja o mobitelima poput ovih danas smatramo naučnom fantastikom. S drugim pametnim uređajima koji se svi povezuju na Internet-of-Things, stvaranje botneta je lakše nego ikad prije.

Međutim, postoje neke stvari koje se mogu učiniti za ublažavanje DDoS napada pojačanja NTP pojačanja. Kao što je često primijećeno u ovom izvješću, naredba “montlista” je ključna za iskorištavanje NTP poslužitelja. Ovisno o poslužitelju koji se koristi, moguće je instalirati zakrpu koja onemogućuje naredbu “monlist”. Škakljiva stvar s tim je da patch mora biti 4.2.7 ili viši. Mnogi su NTP poslužitelji naslijeđeni i ne mogu podržati ovu zakrpu. Kao takav, postoji još jedan naum koji se mora primijeniti na mjere ublažavanja. Na NTP poslužitelju koji je okrenut javnosti, US-CERT preporučuje da naslijeđeni sustavi unesu naredbu “noquery” u konfiguraciju sustava “ograniči zadanu”. Ako se pravilno izvrši, onemogućit će naredbu “monlist”.

Ove taktike ublažavanja možda još uvijek nisu dovoljne. Ovisno o veličini vaše organizacije, možda će biti potrebno zaposliti treće strane. Čak i najjače mreže mogu biti osakaćene pravilno raspoređenim botnet napadima. Zbog toga je možda potrebna treća usluga koja može rasipati mrežni promet. Zatim će učitavanje poslužitelja staviti na više od ciljane mreže i umjesto toga oduzeti nešto topline, tako da spoofed promet ne dođe do istog poslužitelja.

Saznajte više o DDoS-u

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me