[Знания за безопасност] Нека поговорим за най-голямата мистериозна DDoS атака с 400G в историята

На 11 февруари 2014 г. CloudFlare разкри, че клиентите ѝ страдат от NTP при 400GНаводнениеАтакувай, обновявай историятаDDoSОсвен пиковия трафик на атаката, атаките NTP Flood привлякоха голямо внимание в индустрията. Всъщност, тъй като хакерската група DERP стартира рефлексивна атака с NTP, рефлексивните атаки на NTP представляваха 69% от трафика на DoS атаки през първата седмица на новата 2014 г., а средният размер на цялата NTP атака беше около 7.3G bps в секунда, което е три пъти повече от средния трафик на атаките, наблюдаван през декември 2013 г.

Нека разгледаме NTP по-долуСървърпринцип.

NTP (мрежов протокол за време) е стандартен протокол за синхронизация на времето в мрежата, който възприема йерархичен модел на разпределение на времето. Мрежовата архитектура основно включва master time сървъри, slave time сървъри и клиенти. Основният времеви сървър се намира в коренния възел и отговаря за синхронизацията с високопрецизни времеви източници, за да предоставя времеви услуги на други възли. Всеки клиент се синхронизира от времевия сървър от времевия сървър до основния сървър.

Вземем за пример голяма корпоративна мрежа, предприятието изгражда собствен сървър за време, който отговаря за синхронизирането на времето от главния сървър и след това за синхронизацията на времето с бизнес системите на предприятието. За да се гарантира малкото забавяне на синхронизацията на времето, всяка страна е изградила голям брой времеви сървъри според региона като основен сървър на времето, за да отговори на изискванията за синхронизация на времето на различни интернет бизнес системи.

С бързото развитие на информатизацията на мрежите всички сфери на живота, включително финанси, телекомуникации, индустрия, железопътен транспорт, въздушен транспорт и други индустрии, все повече зависят от Ethernet технологията. Всякакви нещаПриложение:Системата се състои от различни сървъри, като електрониБизнесУебсайтът се състои от уеб сървър, сървър за автентикация и сървър за база данни, и за да функционира правилно уеб приложението, е необходимо да се гарантира, че часовникът между уеб сървъра, сървъра за автентикация и сървъра за база данни е синхронизиран в реално време. Например, разпределените облачни изчислителни системи, системи за архивиране в реално време, системи за фактуриране, системи за удостоверяване на мрежовата сигурност и дори основно управление на мрежата разчитат на точна синхронизация на времето.

Защо мистериозният NTP Flood е толкова популярен сред хакери?

NTP е модел сървър/клиент, базиран на протокола UDP, който има естествен недостатък в несигурността поради несвързания характер на протокола UDP (за разлика от TCP, който има тристранен процес на ръкостискане). Хакери официално използваха уязвимостта на NTP сървърите, за да стартират DDoS атаки. Само за 2 стъпки лесно можеш да постигнеш ефекта на атака с четири или два джака.

Стъпка 1: Намерете целта, включително целта на атаката и ресурсите на NTP сървъра в мрежата.

Стъпка 2: Фалшифициране на IP адреса на "целта на атаката" за изпращане на пакет за синхронизация на заявката към NTP сървъра, с цел увеличаване на интензитета на атаката, изпращаният пакет заявка е Monlist пакет за заявка, който е по-мощен. NTP протоколът включва функция monlist, която наблюдава NTP сървъра, отговаря на командата monlist и връща IP адресите на последните 600 клиента, синхронизирани с него. Отговорните пакети се разделят според всеки 6 IP адреса и до 100 отговорни пакета се формират за NTP monlist заявка, която има силни възможности за усилване. Лабораторният симулационен тест показва, че когато размерът на пакета за заявка е 234 байта, всеки отговорен пакет е 482 байта, и въз основа на тези данни се изчислява усилващият множител: 482*100/234 = 206 пъти!

Уау, хаха~~~ Ефектът на атаката е очевиден, и атакуваната цел скоро ще получи отказ от обслужване, а дори цялата мрежа ще бъде задръстена.

Откакто хакерската група DERP откри ефекта от NTP reflection атаките, тя използва NTP рефлексивни атаки в серия DDoS атаки срещу големи гейм компании, включително EA и Blizzard, в края на декември 2013 г. Изглежда, че мистериозната рефлексивна атака на NTP всъщност не е мистериозна и има същия ефект като DNS рефлексионната атака, която се стартира чрез използване на уязвимостта на UDP протокола и отворени сървъри, но разликата е, че NTP е по-заплашителен, защото всеки сървър на центъра за данни се нуждае от синхронизация на часовника и не може да бъде защитен от филтриращи протоколи и портове.

В обобщение, най-голямата характеристика на отразяващите атаки е, че използват различни уязвимости на протокола, за да усилят ефекта на атаката, но са неразделни; стига да притиснат "седемте инча" от атаката, те могат фундаментално да я овладеят. "Седемте инча" на отразената атака са нейните трафик аномалии. Това изисква системата за защита да може да открива аномалии в трафика навреме, а това далеч не е достатъчно, за да се открият аномалии, а системата за защита трябва да има достатъчно производителност, за да устои на тази проста и груба атака. Трябва да знаете, че настоящите атаки често са 100G, ако системата за защита няма няколкостотин G-възможности за защита, дори и да бъде открита, тя може само да гледа.