NTP გამაძლიერებელი DDoS შეტევა


NTP გამაძლიერებელი DDoS შეტევა

ქსელის დროის პროტოკოლი (NTP) არის ერთ – ერთი უძველესი პროტოკოლი, რომელიც დღესაც ინტერნეტში გამოიყენება. იგი პირველად გამოიყენეს 1980-იანი წლების შუა პერიოდში, როდესაც იგი შეიქმნა დელავერის უნივერსიტეტის დევიდ ლ მილსის მიერ. მილსი, რომელიც ფართოდ არის აღიარებული ინტერნეტის პიონერად, ცდილობდა შექმნას ინტერნეტ პროტოკოლი (IP), რომელიც სინქრონიზირებულია კომპიუტერის შიდა საათის.


NTP პროტოკოლის შექმნის დღიდან დაფიქსირდა უამრავი ბოროტად გამოყენება და ბოროტად გამოყენება. ეს შეიძლება საეჭვოა იქნას 2002 წელს დათარიღებული. უფრო ბოლოდროინდელ პერიოდში, სამსახურის კონკრეტული დისტრიბუტორი-უარყოფა (DDoS შეტევა), რომელიც იყენებს NTP პროტოკოლს, გახდა მუდმივი საფრთხე. თუმცა იდეა NTP გამაძლიერებელი ახალი არ არის, 2014 წლიდან, ჰაკერებმა წარმატებით შეძლეს DDoS– სთან ერთად უამრავი მიზნების მიღწევა.

ყველაზე მნიშვნელოვანი ინციდენტი NTP გამაძლიერებელი DDoS– სთან დაკავშირებით მოხდა 2014 წელს, სადაც Cloudflare სერვერები უშუალოდ იყვნენ განლაგებული DDoS შეტევით, რამაც შეშფოთება გამოიწვია კომპანიის გენერალური დირექტორისთვისაც კი (მან მას უწოდა ”მახინჯი მოვლენების დაწყება”). დროს, at 400 გბიტს, ეს იყო ოდესმე ყველაზე მასშტაბური DDoS შეტევა. თავდასხმისთვის გაოცება კომპანია, რომელიც ცნობილია ძლიერი DDoS დაცვით, ეს უნდა მოგცეთ წარმოდგენა იმაზე, თუ რამდენად ძლიერია NTP გამაძლიერებელი.

როგორც ეს საქმეა, უსაფრთხოების პროფესიონალებისთვის და უსაფრთხოების პოლიტიკის მენეჯერისთვის სასიცოცხლოდ მნიშვნელოვანია, რომ გაითვალისწინონ NTP გამაძლიერებელი შეტევები. მიუხედავად იმისა, რომ შეტევამ დაჩრდილა სხვა, უფრო ძლიერი შეტევები, ის მაინც საფრთხეს უქმნის. ამ პრაიმერის კითხვის დასრულების შემდეგ, თქვენ უბრალოდ არ გაიგებთ NTP გამაძლიერებელი DDoS შეტევას, არამედ შეძლებთ მისგან თავის დაცვას..

რა არის NTP გამაძლიერებელი შეტევა?

NTP გამაძლიერებელი DDoS შეტევა, მარტივად რომ ვთქვათ, იყენებს ქსელის დროის პროტოკოლის სერვერებს, რომ გადატვირთონ სამიზნე ბოტნეტით. უნებლიეთებისთვის, ბოტნეტი წარმოადგენს მანქანების ერთობლიობას (ე.წ.ზომბები”) რომლებიც გამოიყენება DDoS შეტევაში. ისინი კონტროლდება თავდამსხმელის მიერ Command-and-Control (C2) სერვერის გამოყენებით და იყენებს მათ დიდ რაოდენობას სამიზნე გადატვირთვისთვის. NTP ამპლიკაციის შემთხვევაში, DDoS ხდება მომხმარებლის მონაცემთა გრაფიკის პროტოკოლის (UDP) მეშვეობით. პაკეტების გაგზავნისთვის UDP არ მოითხოვს რაიმე პასუხს (მაგალითად, TCP / IP სამმხრივი SYN-SYN / ACK-ACK). ამ მიზეზით, უფრო ადვილია შექმნათ უარი მომსახურების (DoS) სიტუაცია, რომელიც დააკაკუნებს სერვერს ან ქსელში ხაზგარეშეა.

NTP გამაძლიერებელი შეტევა შესაძლებელია ქსელის დროის პროტოკოლის დიზაინის ხარვეზის გამო. NTP– ს აქვს მონიტორინგის თანდაყოლილი სერვისი, რომელიც საშუალებას აძლევს sysadmins– ს გადაამოწმონ დაკავშირებული კლიენტებისთვის. თავდასხმის “მისაღებად სია” ბრძოლის საშუალებით, თავდამსხმელს შეუძლია გამოიყენოს ამ მონიტორინგის სამსახურის შესაძლებლობები, გააფუჭოს მათი მისამართი, რომ იყოს მსხვერპლი. ცნობისთვის, “სია” საშუალებას აძლევს ადმინისტრატორს დაათვალიერონ უახლესი კლიენტების დაახლოებით 600 სერვერთან დაკავშირება.

რაც საბოლოოდ მოხდება არის UDP ტრეფიკი გადატვირთულია სერვერზე და მას არაოპერაციულად აქცევს. ადმინისტრატორი არც ერთი ბრძენი არ არის, რადგან ყველა მოძრაობა ხედავს, როგორც ლეგიტიმურ მომხმარებელს.

მიუხედავად იმისა, რომ ეს მოკლე მიმოხილვაა, აუცილებელია NTP DDoS შეტევის ეტაპობრივი გაგება. მხოლოდ ამის შემდეგ შეუძლიათ სერვერების პასუხისმგებელმა პირებმა ისწავლონ როგორ დაიცვან იგი.

როგორ მუშაობს NTP გამაძლიერებელი შეტევა?

  • მუქარის მსახიობი აყალიბებს ბოტნეტს დღეს მრავალი მეთოდის გამოყენებით (მავნე პროგრამით სხვადასხვა მოწყობილობების ინფიცირება სავარაუდო ვარიანტია).
  • თავდამსხმელი შემდეგ პოულობს საჯაროდ ხელმისაწვდომი NTP სერვერს და განსაზღვრავს IP მისამართს, რომელსაც იგი მიიღებს როგორც ლეგიტიმურად.
  • ამ IP მისამართის გამოყენებით, საფრთხე მსახიობის ხელნაკეთობებმა გააფუჭეს UDP პაკეტების გაგზავნა ბოტმენის zombie აპარატების მიერ. თითოეული UDP პაკეტი იტვირთება ბრძანებით “მიიღე მონლის სია”.
  • შემდეგ ბოტნეტი იწყებს UDP პაკეტის გაგზავნას და მავნე ტრეფიკის მუდმივი შემოდინების ერთობლიობის წყალობით, NTP სერვერი იწყებს პასუხს უზარმაზარი რაოდენობის “მიიღე სია” ბრძანებებს.
  • NTP სერვერი სწრაფად იძაბება, როდესაც ცდილობს უპასუხოს თითოეულ არასწორი UDP პაკეტს.
  • დაზარალებული დაუკაკუნეს ხაზგარეშეა და ვერანაირ ლეგიტიმურ ტრაფიკს ვერ ახერხებს.

როგორ არის შემცირებული NTP გამაძლიერებელი შეტევა?

სამწუხარო რეალობა NTP გამაძლიერებელი შეტევები არის ის, რომ არსებობს ძალიან ცოტა Ironclad გადაწყვეტილებები. ამ ყველაფერს ბევრი რამ უკავშირდება პროტოკოლის ასაკთან. ძველი ოქმები უფრო დიდი მასშტაბისკენ მიდრეკილებაა, რადგან 1980-იან წლებში არსებული საფრთხეები მას შემდეგ ექსპონენტურად მრავლდება. ჩვენ გვაქვს გადამამუშავებელი კომპიუტერი, რაც ძველი კომპიუტერივით გამოიყურება პრიმიტიული ტექნოლოგიით. როდესაც ინტერნეტი გამოქვეყნდა 90-იანი წლების შუა ხანებში, მობილური ტელეფონების იდეა, როგორც დღეს, გვაქვს, სამეცნიერო ფანტასტიკად განიხილებოდა. სხვა ჭკვიან მოწყობილობებთან, რომლებიც ინტერნეტთან დაკავშირებულია ყველა საკითხთან, botnet შექმნა უფრო ადვილია, ვიდრე ოდესმე.

ამასთან, არსებობს რამდენიმე რამ, რაც შეიძლება გაკეთდეს NTP გამაძლიერებელი DDoS შეტევის შესამსუბუქებლად. როგორც ხშირად აღინიშნა ამ ანგარიშის განმავლობაში, “მონლის” ბრძანება არის გასაღები NTP სერვერის ათვისებისთვის. გამოყენებული სერვერის მიხედვით, შესაძლებელია პაჩის დაყენება, რომელიც გამორთავს ბრძანებას “მონლის”. ამაში რთული ის არის, რომ პატჩი უნდა იყოს 4.2.7 ან ზემოთ. ბევრი NTP სერვერი არის მემკვიდრეობითი სერვერი და ვერ უზრუნველყოფს ამ პატჩის მხარდაჭერა. როგორც ასეთი, არსებობს კიდევ ერთი გამოსავალი, რომელიც უნდა განხორციელდეს შერბილების მიზნით. საჯარო NTP სერვერზე, US-CERT გირჩევთ მემკვიდრეობითი სისტემების შეყვანას “noquery” ბრძანება “შეზღუდოს ნაგულისხმევი” სისტემის კონფიგურაცია. თუ სწორად შესრულდება, ის გამორთავს “მონლის” ბრძანებას.

შემამსუბუქებელი ტაქტიკა შეიძლება ჯერ კიდევ არ იყოს საკმარისი. თქვენი ორგანიზაციის ზომიდან გამომდინარე, შეიძლება საჭირო გახდეს მესამე მხარის სერვისების დასაქმება. უძლიერესი ქსელებიც კი შეიძლება ჩამოიშალოს სწორად განლაგებული ბოტნეტით შეტევით. როგორც ეს საქმეა, შეიძლება საჭირო გახდეს მესამე მხარის სერვისი, რომელსაც შეუძლია ქსელის ტრაფიკის გაფანტვა. შემდეგ ის სერვერის დატვირთვას ახდენს იმაზე მეტს, ვიდრე მხოლოდ მიზნობრივ ქსელს, და ამის ნაცვლად აიღეთ სითბო, ისე რომ გაფუჭებული ტრეფიკი არ მიაღწევს ერთსა და იმავე სერვერს.

შეიტყვეთ მეტი DDoS- ის შესახებ

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map