[Sikkerhedsviden] Lad os tale om det største 400G-mystiske DDoS-angreb i historien

Den 11. februar 2014 afslørede Cloudflare, at deres kunder led under NTP ved 400GOversvømmelseAngrib, opdater historikkenDDoSUd over angrebets højeste trafik har NTP Flood-angreb tiltrukket stor opmærksomhed i branchen. Faktisk, siden hackergruppen DERP lancerede et reflection-angreb med NTP, stod NTP-refleksionsangreb for 69% af DoS-angrebstrafikken i den første uge af det nye år 2014, og den gennemsnitlige størrelse af hele NTP-angrebet var omkring 7,3G bps pr. sekund, hvilket var tre gange højere end den gennemsnitlige angrebstrafik observeret i december 2013.

Lad os se på NTP nedenforServerPrincip.

NTP (netværkstidsprotokol) er en standard netværkstidssynkroniseringsprotokol, der anvender en hierarkisk tidsfordelingsmodel. Netværksarkitekturen omfatter hovedsageligt master time servere, slave time servere og klienter. Hovedtidsserveren er placeret ved rodnoden og er ansvarlig for at synkronisere med højpræcisionstidskilder for at levere tidstjenester til andre noder. Hver klient synkroniseres af tidsserveren fra tidsserveren til den primære server.

Tag et stort virksomhedsnetværk som eksempel: virksomheden bygger sin egen tidsserver, som er ansvarlig for at synkronisere tiden fra hovedtidsserveren, og derefter for at synkronisere tiden til virksomhedens forretningssystemer. For at sikre, at tidssynkroniseringsforsinkelsen er lille, har hvert land bygget et stort antal tidsservere i henhold til regionen som hovedtidsserver for at opfylde tidssynkroniseringskravene for forskellige internetforretningssystemer.

Med den hurtige udvikling af netværksinformatisering er alle samfundslag, herunder finans, telekommunikation, industri, jernbanetransport, lufttransport og andre industrier, i stigende grad afhængige af Ethernet-teknologi. Alle mulige tingAnvendelse:Systemet består af forskellige servere, såsom elektronerErhvervEn hjemmeside består af en webserver, en autentificeringsserver og en databaseserver, og for at en webapplikation kan fungere korrekt, er det nødvendigt at sikre, at klokken mellem webserveren, autentificeringsserveren og databaseserveren synkroniseres i realtid. For eksempel er distribuerede cloud computing-systemer, realtidsbackupsystemer, faktureringssystemer, netværkssikkerhedsautentificeringssystemer og endda grundlæggende netværksstyring alle afhængige af nøjagtig tidssynkronisering.

Hvorfor er den mystiske NTP Flood så populær blandt hackere?

NTP er en server/klient-model baseret på UDP-protokollen, som har en naturlig usikkerhedsfejl på grund af UDP-protokollens ikke-forbundne natur (i modsætning til TCP, som har en trevejs håndtryksproces). Hackere udnyttede officielt NTP-servernes usikkerhedssårbarhed til at iværksætte DDoS-angreb. På blot 2 trin kan du nemt opnå angrebseffekten af fire eller to jacks.

Trin 1: Find målet, inklusive angrebsmålet og NTP-serverressourcerne på netværket.

Trin 2: Forfalsk IP-adressen på "angrebsmålet" for at sende en anmodningsklokkesynkroniseringspakke til NTP-serveren; for at øge angrebsintensiteten er den sendte anmodningspakke en Monlist-anmodningspakke, som er mere kraftfuld. NTP-protokollen inkluderer en monlist-funktion, der overvåger NTP-serveren, som svarer på monlist-kommandoen og returnerer IP-adresserne på de sidste 600 klienter, der er blevet synkroniseret med den. Svarpakkerne opdeles efter hver 6. IP, og op til 100 svarpakker vil blive dannet for en NTP-monlist-anmodning, som har stærke forstærkningsmuligheder. Laboratoriesimuleringstesten viser, at når størrelsen på anmodningspakken er 234 bytes, er hver responspakke 482 bytes, og baseret på disse data beregnes forstærkningsmultiplikatoren: 482*100/234 = 206 gange!

Wow haha~~~ Angrebseffekten er tydelig, og det angrebne mål vil snart få en denial of service, og hele netværket vil endda være overbelastet.

Siden hackergruppen DERP opdagede effekten af NTP-refleksionsangreb, har de brugt NTP-refleksionsangreb i en række DDoS-angreb mod store spilfirmaer, herunder EA og Blizzard, i slutningen af december 2013. Det ser ud til, at det mystiske NTP-refleksionsangreb faktisk ikke er mystisk, og det har samme effekt som DNS-refleksionsangrebet, som iværksættes ved at bruge usikkerhedssårbarheden i UDP-protokollen og åbne servere, men forskellen er, at NTP er mere truende, fordi hver datacenterserver kræver clocksynkronisering og ikke kan beskyttes af filtreringsprotokoller og porte.

For at opsummere er den største egenskab ved refleksive angreb, at de bruger forskellige protokolsårbarheder til at forstærke angrebseffekten, men de er uadskillelige, så længe de klemmer angrebets "syv tommer" sammen, kan de grundlæggende indeholde angrebet. De "syv tommer" af det reflekterede angreb er dets trafikanomalier. Dette kræver, at beskyttelsessystemet kan opdage trafikanomalier i tide, og det er langt fra nok til at finde abnormiteter, og beskyttelsessystemet skal have tilstrækkelig ydeevne til at modstå dette simple og grove angreb; du skal vide, at de nuværende angreb ofte er 100G, hvis beskyttelsessystemet ikke har et par hundrede G beskyttelseskapaciteter, kan det kun stirre, selv hvis det findes.