[Sicherheitswissen] Sprechen wir über den größten mysteriösen 400G-DDoS-Angriff der Geschichte

Am 11. Februar 2014 gab CloudFlare bekannt, dass seine Kunden unter NTP bei 400G leiden.FlutAngriff, Geschichte aktualisierenDDoSNeben dem Spitzenverkehr durch den Angriff haben NTP-Flood-Angriffe in der Branche viel Aufmerksamkeit erregt. Tatsächlich machten NTP-Reflexionsangriffe seit dem Start eines Reflexionsangriffs mit NTP 69 % des DoS-Angriffsverkehrs in der ersten Woche des neuen Jahres 2014 aus, und die durchschnittliche Größe des gesamten NTP-Angriffs lag bei etwa 7,3 G bps pro Sekunde, was dreimal höher war als der durchschnittliche Angriffsverkehr im Dezember 2013.

Schauen wir uns unten das NTP anServerPrinzip.

NTP (Network Time Protocol) ist ein standardisiertes Netzwerkzeit-Synchronisationsprotokoll, das ein hierarchisches Zeitverteilungsmodell verwendet. Die Netzwerkarchitektur umfasst hauptsächlich Master-Time-Server, Slave-Time-Server und Clients. Der Hauptzeitserver befindet sich am Wurzelknoten und ist verantwortlich für die Synchronisation mit hochpräzisen Zeitquellen, um Zeitdienste für andere Knoten bereitzustellen. Jeder Client wird vom Zeitserver vom Zeitserver bis zum Hauptserver synchronisiert.

Nehmen wir ein großes Unternehmensnetzwerk als Beispiel: Das Unternehmen baut seinen eigenen Zeitserver, der für die Synchronisation der Zeit vom Hauptzeitserver aus verantwortlich ist und dann für die Synchronisation der Zeit an die Geschäftssysteme des Unternehmens zuständig ist. Um sicherzustellen, dass die Zeitsynchronisationsverzögerung gering ist, hat jedes Land eine große Anzahl von Zeitservern je nach Region als Hauptzeitserver aufgebaut, um die Anforderungen verschiedener Internet-Geschäftssysteme zu erfüllen.

Mit der rasanten Entwicklung der Netzwerkinformatisierung sind alle Lebensbereiche – einschließlich Finanzen, Telekommunikation, Industrie, Eisenbahnverkehr, Luftverkehr und andere Branchen – zunehmend auf Ethernet-Technologie angewiesen. Alle möglichen DingeAnwendung:Das System besteht aus verschiedenen Servern, wie ElektronenGeschäftEine Website besteht aus einem Webserver, einem Authentifizierungsserver und einem Datenbankserver, und damit eine Webanwendung ordnungsgemäß funktioniert, muss sichergestellt werden, dass die Uhr zwischen Webserver, Authentifizierungsserver und Datenbankserver in Echtzeit synchronisiert wird. Zum Beispiel basieren verteilte Cloud-Computing-Systeme, Echtzeit-Backup-Systeme, Abrechnungssysteme, Netzwerksicherheits-Authentifizierungssysteme und sogar grundlegendes Netzwerkmanagement alle auf einer genauen Zeitsynchronisation.

Warum ist der mysteriöse NTP Flood bei Hackern so beliebt?

NTP ist ein Server/Client-Modell, das auf dem UDP-Protokoll basiert und aufgrund der nicht verbundenen Natur des UDP-Protokolls eine natürliche Sicherheitslücke aufweist (im Gegensatz zu TCP, das einen Dreifach-Handshake-Prozess hat). Hacker nutzten offiziell die Sicherheitslücke der NTP-Server aus, um DDoS-Angriffe zu starten. Mit nur zwei Schritten kannst du problemlos den Angriffseffekt von vier oder zwei Buben erzielen.

Schritt 1: Finden Sie das Ziel, einschließlich des Angriffsziels und der NTP-Serverressourcen im Netzwerk.

Schritt 2: Fälschung der IP-Adresse des "Angriffsziels", um ein Request-Clock-Synchronisationspaket an den NTP-Server zu senden; um die Angriffsintensität zu erhöhen, ist das gesendete Anfragepaket ein Monlist-Anfragepaket, das leistungsstärker ist. Das NTP-Protokoll enthält eine Monlist-Funktion, die den NTP-Server überwacht, der auf den Monlist-Befehl antwortet und die IP-Adressen der letzten 600 Clients zurückgibt, die mit ihm synchronisiert wurden. Die Antwortpakete werden auf alle 6 IPs aufgeteilt, und es werden bis zu 100 Antwortpakete für eine NTP-Monlist-Anfrage gebildet, die über starke Verstärkungsfähigkeiten verfügt. Der Laborsimulationstest zeigt, dass bei einer Größe des Anfragepakets 234 Byte jedes Antwortpaket 482 Bytes beträgt, und basierend auf diesen Daten wird das Amplifikationsmultiplikator berechnet: 482*100/234 = 206 Mal!

Wow haha~~~ Der Angriffseffekt ist offensichtlich, und das angegriffene Ziel wird bald einen Denial of Service erhalten, und sogar das gesamte Netzwerk wird überlastet sein.

Seit die Hackergruppe DERP die Wirkung von NTP-Reflexionsangriffen entdeckt hat, hat sie NTP-Reflexionsangriffe in einer Reihe von DDoS-Angriffen gegen große Spielefirmen wie EA und Blizzard Ende Dezember 2013 eingesetzt. Es scheint, dass der mysteriöse NTP-Reflexionsangriff tatsächlich nicht mysteriös ist und denselben Effekt hat wie der DNS-Reflexionsangriff, der durch die Nutzung der Sicherheitslücke des UDP-Protokolls und offene Server ausgelöst wird, aber der Unterschied ist, dass NTP bedrohlicher ist, da jeder Rechenzentrumsserver eine Taktsynchronisation benötigt und nicht durch Filterprotokolle und Ports geschützt werden kann.

Zusammenfassend ist das größte Merkmal reflektierender Angriffe, dass sie verschiedene Protokollschwachstellen nutzen, um den Angriffseffekt zu verstärken, aber sie sind untrennbar, solange sie die "sieben Zoll" des Angriffs einklemmen, können sie den Angriff grundlegend eindämmen. Die "sieben Zoll" des reflektierten Angriffs sind seine Verkehrsanomalien. Das erfordert, dass das Schutzsystem in der Lage ist, Verkehrsanomalien rechtzeitig zu erkennen, und es reicht bei weitem nicht aus, um Anomalien zu finden, und das Schutzsystem muss genug Leistung haben, um diesem einfachen und groben Angriff zu widerstehen. Man muss wissen, dass die aktuellen Angriffe oft 100G betragen; wenn das Schutzsystem nicht über einige hundert G verfügen, kann es selbst dann nur starren.