התקפת DDoS של הגברת NTP


התקפת DDoS של הגברת NTP

פרוטוקול זמן הרשת (NTP) הוא אחד הפרוטוקולים העתיקים ביותר שנמצאים בשימוש באינטרנט כיום. הוא שימש לראשונה באמצע שנות השמונים, כאשר נוצר על ידי דייוויד ל. מילס של אוניברסיטת דלאוור. מילס, המוכר כהחלוץ באינטרנט, ביקש ליצור פרוטוקול אינטרנט (IP) המסנכרן את השעון הפנימי של מחשב.


פרוטוקול ה- NTP ראה התעללות ושימוש לרעה רבים מאז הקמתו. ניתן לטעון זאת חזרה לשנת 2002. בתקופה האחרונה יותר, סוג מסוים של מניעת שירות מבוזרת (התקפת DDoS), המשתמש בפרוטוקול NTP, הפך לאיום מתמיד. אם כי הרעיון של הגברה NTP אינו חדש, מאז שנת 2014, האקרים הצליחו איתו אינספור יעדים איתו.

התקרית המשמעותית ביותר בה התרחשה DDoS של הגברת NTP הייתה בשנת 2014, שם הוגדרו ישירות שרתי Cloudflare על ידי מתקפת DDoS שהבהילה אפילו את מנכ”ל החברה (הוא כינה זאת “תחילת הדברים המכוערים הבאים”). בזמנו, בשעה 400 ג’יגה-ביט לשנייה, זה היה פעם התקפות DDoS הגדולות ביותר אי פעם. למתקפה שתפתיע חברה הידועה בהגנת DDoS חזקה, זה אמור לתת לך מושג עד כמה יכול להיות הגברה NTP חזקה..

מכיוון שכך, חיוני שאנשי אבטחה ומנהיגים האחראים על מדיניות האבטחה יבינו את התקפות ההגברה של NTP. למרות שההתקפה עלתה על ידי התקפות אחרות וחזקות יותר, היא עדיין מהווה איום מאוד. כשתסיים לקרוא את פריימר זה, לא תבינו רק להתקפת DDoS של הגברת NTP, אלא תוכלו גם להתגונן נגדה..

מהי התקפת הגברה NTP?

התקפת DDoS של הגברת NTP, במילים פשוטות, מנצלת שרתי פרוטוקול רשת זמן Time כדי להעמיס על יעד באמצעות Botnet. עבור הבלתי מועסקים, botnet הוא מערך מכונות (המכונה “זומבים“) שמשתמשים בהתקפת DDoS. הם נשלטים על ידי התוקף באמצעות שרת פקודה ובקרה (C2) ומשתמשים במספרים הגדולים שלהם כדי להעמיס על מטרה. במקרה של הגברה NTP, ה- DDoS מתרחש באמצעות פרוטוקול User Datagram (UDP). UDP אינו דורש שום תגובה (כמו לחיצת היד SYN-SYN / ACK-ACK תלת-כיוונית TCP / IP) בכדי לשלוח מנות. מסיבה זו, קל יותר ליצור מצב של מניעת שירות (DoS) אשר דופק שרת או רשת באופן לא מקוון.

התקפת ההגברה של NTP אפשרית בגלל פגם בעיצוב פרוטוקול זמן הרשת. ל- NTP יש שירות ניטור מובנה המאפשר ל- sysadmins לבדוק את ספירת התעבורה של לקוחות מחוברים. באמצעות הפקודה “קבל מונליסט”, תוקף יכול למנף את יכולות שירות הניטור הזה כדי לזייף את כתובתו כזו של קורבן. לעיון, “monlist” מאפשר למנהל מערכת לראות בערך 600 מהלקוחות האחרונים להתחברות לשרת.

מה שקורה בסופו של דבר הוא UDP התנועה מעמיסה על השרת והופכת אותו לבלתי ניתן לשימוש. המנהל אינו החכם שכן הוא רואה את כל התעבורה כשייכת למשתמש לגיטימי.

אמנם זו סקירה קצרה, אך יש צורך להבין את התקפת NTP DDoS שלב אחר שלב. רק אז יכולים אנשים האחראים לשרת ללמוד כיצד להתגונן נגדה.

כיצד פועלת התקפת הגברה NTP?

  • שחקן איום יוצר botnet באמצעות השיטות הרבות הקיימות כיום (זיהום מכשירים שונים עם תוכנות זדוניות הוא האפשרות הסבירה ביותר).
  • לאחר מכן התוקף מוצא שרת NTP זמין לציבור וקובע כתובת IP שתקבל כלגיטימית.
  • באמצעות כתובת IP זו, האיום של שחקן האיום זייף את מנות UDP שיישלחו על ידי מכונות הזומבה של בוטנט. כל חבילת UDP נטענת בפקודה “קבל monlist”.
  • לאחר מכן בוטנט מתחיל לשלוח את מנות ה- UDP, ובזכות השילוב בין הזרם התמידי של תנועה זדונית, שרת ה- NTP מתחיל להגיב לכמות עצומה של פקודות “קבל monlist”..
  • שרת ה- NTP במהירות מוצף בניסיון להגיב לכל חבילת UDP בעלת מבנה פגום.
  • הקורבן מוחץ במצב לא מקוון וכל תנועה לגיטימית לא מצליחה לעבור.

איך מתקלים התקפת הגברה NTP?

המציאות האומללה עם התקפות הגברה NTP זה שיש מעט מאוד פתרונות לחיפוי ברזל. הרבה מזה קשור לגיל הפרוטוקול. פרוטוקולים ישנים יותר מועדים לניצול בקנה מידה גדול יותר פשוט מכיוון שאיומים שנמצאים בשנות השמונים התרבו מאז באופן אקספוננציאלי. יש לנו מחשבים בעלי כוח עיבוד הגורם למחשבים ישנים להיראות כמו טכנולוגיה פרימיטיבית. כאשר האינטרנט התפרסם באמצע שנות התשעים, הרעיון של טלפונים סלולריים כמו אלה שיש לנו היום ייחשב למדע בדיוני. עם מכשירים חכמים אחרים המתחברים לאינטרנט-הדברים, יצירת botnet קלה מתמיד.

עם זאת, ישנם כמה דברים שניתן לעשות כדי להקל על התקפת DDoS של הגברת NTP. כפי שצוין לעיתים קרובות במהלך דוח זה, הפקודה “monlist” היא המפתח לניצול שרת NTP. תלוי בשרת המשמש, ניתן להתקין תיקון שמבטל את הפקודה “monlist”. הדבר המסובך עם זה הוא שהתיקון חייב להיות 4.2.7 ומעלה. שרתי NTP רבים הם שרתים מדור קודם ואינם יכולים לתמוך בתיקון זה. ככאלה, יש דרך נוספת לעקיפת הבעיה שיש ליישם לצורך הפחתה. בשרת NTP הפונה לציבור, US-CERT ממליצה למערכות מדור קודם להזין את הפקודה “noquery” לתצורת המערכת “להגביל ברירת מחדל”. אם היא מתבצעת כראוי, היא תשבית את הפקודה “monlist”.

יתכן שעדיין לא די בטקטיקות ההפחתה הללו. בהתאם לגודל הארגון שלך, יתכן שיהיה צורך להעסיק שירותי צד ג ‘. אפילו הרשתות החזקות ביותר יכולות להיות נכות על ידי התקפת בוטנט פרוסה כראוי. מכיוון שכך, שירות של צד שלישי שיכול לפזר תנועה ברשת עשוי להיות נחוץ. לאחר מכן הוא יטען את עומס השרת על יותר מסתם הרשת הממוקדת, ובמקום זאת יפטר מעט מהחום כך שהתעבורה המזוייפת לא תגיע לכל אותו שרת..

למידע נוסף על DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map