[Γνώση ασφάλειας] Ας μιλήσουμε για τη μεγαλύτερη μυστηριώδη επίθεση DDoS 400G στην ιστορία

Στις 11 Φεβρουαρίου 2014, η CloudFlare αποκάλυψε ότι οι πελάτες της υπέφεραν από NTP στα 400GΠλημμύραΕπίθεση, ανανέωση ιστορικούDDoSΕκτός από την αιχμή της επισκεψιμότητας της επίθεσης, οι επιθέσεις NTP Flood έχουν προσελκύσει μεγάλη προσοχή στον κλάδο. Στην πραγματικότητα, δεδομένου ότι η ομάδα χάκερ DERP εξαπέλυσε μια επίθεση αντανάκλασης χρησιμοποιώντας NTP, οι επιθέσεις αντανάκλασης NTP αντιπροσώπευαν το 69% της κίνησης επιθέσεων DoS την πρώτη εβδομάδα του νέου έτους 2014 και το μέσο μέγεθος ολόκληρης της επίθεσης NTP ήταν περίπου 7,3G bps ανά δευτερόλεπτο, το οποίο ήταν τρεις φορές υψηλότερο από τη μέση κίνηση επίθεσης που παρατηρήθηκε τον Δεκέμβριο του 2013.

Ας δούμε το NTP παρακάτωΔιακομιστήςαρχή.

Το NTP (πρωτόκολλο χρόνου δικτύου) είναι ένα τυπικό πρωτόκολλο συγχρονισμού χρόνου δικτύου που υιοθετεί ένα ιεραρχικό μοντέλο κατανομής χρόνου. Η αρχιτεκτονική του δικτύου περιλαμβάνει κυρίως κύριους διακομιστές ώρας, διακομιστές slave time και πελάτες. Ο κύριος διακομιστής ώρας βρίσκεται στον ριζικό κόμβο και είναι υπεύθυνος για το συγχρονισμό με πηγές ώρας υψηλής ακρίβειας για την παροχή υπηρεσιών ώρας σε άλλους κόμβους. Κάθε πελάτης συγχρονίζεται από τον διακομιστή ώρας από τον διακομιστή ώρας μέσω του κύριου διακομιστή.

Λαμβάνοντας ως παράδειγμα ένα μεγάλο εταιρικό δίκτυο, η επιχείρηση δημιουργεί τον δικό της διακομιστή ώρας, ο οποίος είναι υπεύθυνος για το συγχρονισμό της ώρας από τον κύριο διακομιστή ώρας και, στη συνέχεια, είναι υπεύθυνος για το συγχρονισμό της ώρας με τα επιχειρηματικά συστήματα της επιχείρησης. Προκειμένου να διασφαλιστεί ότι η καθυστέρηση συγχρονισμού χρόνου είναι μικρή, κάθε χώρα έχει δημιουργήσει μεγάλο αριθμό διακομιστών ώρας ανάλογα με την περιοχή ως τον κύριο διακομιστή ώρας για να καλύψει τις απαιτήσεις συγχρονισμού χρόνου διαφόρων επιχειρηματικών συστημάτων Διαδικτύου.

Με την ταχεία ανάπτυξη της πληροφορικής δικτύου, όλα τα κοινωνικά στρώματα, συμπεριλαμβανομένων των οικονομικών, των τηλεπικοινωνιών, της βιομηχανίας, των σιδηροδρομικών μεταφορών, των αεροπορικών μεταφορών και άλλων βιομηχανιών, εξαρτώνται όλο και περισσότερο από την τεχνολογία Ethernet. Όλα τα είδη των πραγμάτωνΕφαρμογή:Το σύστημα αποτελείται από διαφορετικούς διακομιστές, όπως ηλεκτρόνιαΕπιχειρήσειςΈνας ιστότοπος αποτελείται από έναν διακομιστή ιστού, έναν διακομιστή ελέγχου ταυτότητας και έναν διακομιστή βάσης δεδομένων και για να λειτουργεί σωστά μια εφαρμογή Ιστού, είναι απαραίτητο να διασφαλιστεί ότι το ρολόι μεταξύ του διακομιστή ιστού, του διακομιστή ελέγχου ταυτότητας και του διακομιστή βάσης δεδομένων συγχρονίζεται σε πραγματικό χρόνο. Για παράδειγμα, τα κατανεμημένα συστήματα υπολογιστικού νέφους, τα συστήματα δημιουργίας αντιγράφων ασφαλείας σε πραγματικό χρόνο, τα συστήματα χρέωσης, τα συστήματα ελέγχου ταυτότητας ασφάλειας δικτύου, ακόμη και η βασική διαχείριση δικτύου βασίζονται στον ακριβή συγχρονισμό χρόνου.

Γιατί το μυστηριώδες NTP Flood είναι τόσο δημοφιλές στους χάκερ;

Το NTP είναι ένα μοντέλο διακομιστή/πελάτη που βασίζεται στο πρωτόκολλο UDP, το οποίο έχει ένα φυσικό ελάττωμα ανασφάλειας λόγω της μη συνδεδεμένης φύσης του πρωτοκόλλου UDP (σε αντίθεση με το TCP, το οποίο έχει μια διαδικασία χειραψίας τριών κατευθύνσεων). Οι χάκερ εκμεταλλεύτηκαν επίσημα την ευπάθεια ανασφάλειας των διακομιστών NTP για να εξαπολύσουν επιθέσεις DDoS. Σε μόλις 2 βήματα, μπορείτε εύκολα να επιτύχετε το εφέ επίθεσης τεσσάρων ή δύο υποδοχών.

Βήμα 1: Βρείτε τον στόχο, συμπεριλαμβανομένου του στόχου επίθεσης και των πόρων διακομιστή NTP στο δίκτυο.

Βήμα 2: Σφυρηλάτηση της διεύθυνσης IP του "στόχου επίθεσης" για αποστολή πακέτου αιτήματος αιτήματος συγχρονισμού ρολογιού στον διακομιστή NTP, προκειμένου να αυξηθεί η ένταση της επίθεσης, το πακέτο αιτήματος που αποστέλλεται είναι ένα πακέτο αιτήματος Monlist, το οποίο είναι πιο ισχυρό. Το πρωτόκολλο NTP περιλαμβάνει μια συνάρτηση monlist που παρακολουθεί τον διακομιστή NTP, ο οποίος ανταποκρίνεται στην εντολή monlist και επιστρέφει τις διευθύνσεις IP των τελευταίων 600 πελατών που έχουν συγχρονιστεί με αυτόν. Τα πακέτα απόκρισης χωρίζονται σύμφωνα με κάθε 6 IP και θα σχηματιστούν έως και 100 πακέτα απόκρισης για ένα αίτημα NTP monlist, το οποίο έχει ισχυρές δυνατότητες ενίσχυσης. Η εργαστηριακή δοκιμή προσομοίωσης δείχνει ότι όταν το μέγεθος του πακέτου αιτήματος είναι 234 byte, κάθε πακέτο απόκρισης είναι 482 byte και με βάση αυτά τα δεδομένα, υπολογίζεται το πολλαπλάσιο ενίσχυσης: 482*100/234 = 206 φορές!

Ουάου χαχα~~~ Το αποτέλεσμα της επίθεσης είναι προφανές και ο στόχος που δέχεται επίθεση θα έχει σύντομα άρνηση υπηρεσίας και ακόμη και ολόκληρο το δίκτυο θα συμφορηθεί.

Από τότε που η ομάδα χάκερ DERP ανακάλυψε την επίδραση των επιθέσεων αντανάκλασης NTP, χρησιμοποίησε επιθέσεις αντανάκλασης NTP σε μια σειρά επιθέσεων DDoS εναντίον μεγάλων εταιρειών παιχνιδιών, συμπεριλαμβανομένων των EA και Blizzard, στα τέλη Δεκεμβρίου 2013. Φαίνεται ότι η μυστηριώδης επίθεση αντανάκλασης NTP δεν είναι στην πραγματικότητα μυστηριώδης και έχει το ίδιο αποτέλεσμα με την επίθεση αντανάκλασης DNS, η οποία ξεκινά χρησιμοποιώντας την ευπάθεια ανασφάλειας του πρωτοκόλλου UDP και χρησιμοποιώντας ανοιχτούς διακομιστές, αλλά η διαφορά είναι ότι το NTP είναι πιο απειλητικό, επειδή κάθε διακομιστής κέντρου δεδομένων χρειάζεται συγχρονισμό ρολογιού και δεν μπορεί να προστατευτεί με πρωτόκολλα και θύρες φιλτραρίσματος.

Συνοψίζοντας, το μεγαλύτερο χαρακτηριστικό των ανακλαστικών επιθέσεων είναι ότι χρησιμοποιούν διάφορα τρωτά σημεία πρωτοκόλλου για να ενισχύσουν το αποτέλεσμα της επίθεσης, αλλά είναι αδιαχώριστα, εφόσον τσιμπήσουν τις «επτά ίντσες» της επίθεσης, μπορούν να περιορίσουν θεμελιωδώς την επίθεση. Οι «επτά ίντσες» της ανακλώμενης επίθεσης είναι οι κυκλοφοριακές ανωμαλίες της. Αυτό απαιτεί από το σύστημα προστασίας να μπορεί να ανιχνεύει έγκαιρα ανωμαλίες κυκλοφορίας και δεν αρκεί να βρει ανωμαλίες και το σύστημα προστασίας πρέπει να έχει αρκετή απόδοση για να αντισταθεί σε αυτήν την απλή και σκληρή επίθεση, πρέπει να γνωρίζετε ότι οι τρέχουσες επιθέσεις είναι συχνά 100G, εάν το σύστημα προστασίας δεν έχει μερικές εκατοντάδες δυνατότητες προστασίας G, ακόμα κι αν βρεθεί, μπορεί μόνο να κοιτάξει επίμονα.