|
Dne 11. února 2014 CloudFlare oznámil, že jeho zákazníci trpí NTP při 400GPovodeňÚtok, obnov historiiDDoSKromě vrcholu provozu během útoku přitáhly útoky NTP Flood v oboru značnou pozornost. Ve skutečnosti, od chvíle, kdy hackerská skupina DERP spustila reflexní útok pomocí NTP, tvořily NTP reflexní útoky v prvním týdnu nového roku 2014 69 % DoS útoku a průměrná velikost celého NTP útoku byla asi 7,3 G bps za sekundu, což bylo třikrát více než průměrný útokový provoz zaznamenaný v prosinci 2013.
Podívejme se níže na NTPServerprincip. NTP (síťový časový protokol) je standardní protokol pro synchronizaci síťového času, který využívá hierarchický model rozdělení času. Síťová architektura zahrnuje hlavně servery master time, slave time servery a klienty. Hlavní časový server se nachází v kořenovém uzlu a je zodpovědný za synchronizaci s vysoce přesnými časovými zdroji, aby poskytoval časové služby ostatním uzlům. Každý klient je synchronizován časovým serverem od časového serveru přes primární server. Jako příklad velké podnikové sítě si podnik vytvoří vlastní časový server, který je zodpovědný za synchronizaci času z hlavního časového serveru a poté za synchronizaci času s podnikovými systémy. Aby byla zajištěna malá zpoždění synchronizace času, každá země vybudovala velké množství časových serverů podle regionu jako hlavní časový server, aby splnila požadavky na synchronizaci času různých systémů internetového podnikání. S rychlým rozvojem informatizace sítí jsou všechny oblasti života, včetně financí, telekomunikací, průmyslu, železniční dopravy, letecké dopravy a dalších odvětví, stále více závislé na technologii Ethernet. Všelijaké věciAplikace:Systém se skládá z různých serverů, například elektronůPodnikáníWebová stránka se skládá z webového serveru, autentizačního serveru a databázového serveru, a aby webová aplikace správně fungovala, je nutné zajistit, aby hodiny mezi webovým serverem, autentizačním serverem a databázovým serverem byly synchronizovány v reálném čase. Například distribuované cloudové výpočetní systémy, systémy pro zálohování v reálném čase, fakturační systémy, systémy pro ověřování bezpečnosti sítě a dokonce i základní správa sítě všechny spoléhají na přesnou synchronizaci času. Proč je záhadný NTP Flood tak oblíbený mezi hackery? NTP je model server/klient založený na protokolu UDP, který má přirozenou chybu v oblasti bezpečnosti kvůli nepřipojené povaze protokolu UDP (na rozdíl od TCP, který má třícestný handshake). Hackeři oficiálně využili bezpečnostní zranitelnost NTP serverů k zahájení DDoS útoků. Za pouhé 2 kroky můžete snadno dosáhnout útokového efektu čtyř nebo dvou jacků. Krok 1: Najděte cíl, včetně cíle útoku a zdrojů NTP serveru v síti. Krok 2: Vytvořením IP adresy "cíle útoku" pro odeslání paketu synchronizace hodin požadavků na NTP server, aby se zvýšila intenzita útoku, je odesílaný paket požadavku Monlist, který je výkonnější. Protokol NTP obsahuje funkci monlist, která monitoruje NTP server, reaguje na příkaz monlist a vrací IP adresy posledních 600 klientů, kteří s ním byli synchronizováni. Odpovědi jsou rozděleny podle každých 6 IP adres a pro požadavek NTP monlistu, který má silné amplifikační schopnosti, se vytvoří až 100 odpovědních paketů. Laboratorní simulační test ukazuje, že když je velikost paketu požadavku 234 bajtů, každý paket odpovědi má 482 bajtů, a na základě těchto dat se vypočítá násobek zesílení: 482*100/234 = 206krát! Wow haha~~~ Efekt útoku je zřejmý a napadený cíl brzy bude mít odmítnutí služby a dokonce bude celá síť přetížená. Od té doby, co hackerská skupina DERP objevila účinek NTP reflexních útoků, použila NTP reflexní útoky v sérii DDoS útoků proti velkým herním společnostem včetně EA a Blizzardu na konci prosince 2013. Zdá se, že záhadný NTP reflexní útok není ve skutečnosti záhadný a má stejný efekt jako DNS reflexní útok, který je zahájen využitím bezpečnostní zranitelnosti protokolu UDP a otevřenými servery, ale rozdíl je v tom, že NTP je hrozivější, protože každý server datového centra potřebuje synchronizaci hodin a nelze jej chránit filtračními protokoly a porty. Shrnuto, největší vlastností reflexivních útoků je, že využívají různé protokolové zranitelnosti k zesílení efektu útoku, ale jsou neoddělitelné, pokud uchopí "sedm palců" útoku, dokážou útok zásadně zadržet. "Sedm palců" odraženého útoku jsou jeho dopravní anomálie. To vyžaduje, aby ochranný systém dokázal včas detekovat dopravní anomálie, a to rozhodně nestačí k nalezení abnormalit, a ochranný systém musí mít dostatečný výkon, aby odolal tomuto jednoduchému a hrubému útoku. Musíte vědět, že současné útoky často dosahují 100G, pokud nemá několik stovek G ochranných schopností, i když je nalezen, může jen zírat.
| 
Zveřejněno 01.12.2014 14:41:44
|
|
|
|
