[Conocimiento de Seguridad] Hablemos del mayor ataque DDoS misterioso de 400G en la historia

El 11 de febrero de 2014, CloudFlare reveló que sus clientes sufrían NTP a 400GInundaciónAtacar, actualizar historialDDoSAdemás del pico de tráfico del ataque, los ataques de inundación NTP han atraído mucha atención en la industria. De hecho, desde que el grupo hacker DERP lanzó un ataque por reflexión usando NTP, los ataques por reflexión NTP representaron el 69% del tráfico de ataques DoS en la primera semana del nuevo año 2014, y el tamaño medio de todo el ataque NTP fue de unos 7,3G bps por segundo, tres veces mayor que el tráfico medio de ataque observado en diciembre de 2013.

Veamos NTP a continuaciónServidorprincipio.

NTP (protocolo de tiempo de red) es un protocolo estándar de sincronización temporal de red que adopta un modelo de distribución jerárquica del tiempo. La arquitectura de la red incluye principalmente servidores de tiempo maestro, servidores de tiempo esclavo y clientes. El servidor de tiempo principal está ubicado en el nodo raíz y es responsable de sincronizarse con fuentes de tiempo de alta precisión para proporcionar servicios de tiempo a otros nodos. Cada cliente está sincronizado por el servidor de tiempos desde el servidor de tiempo hasta el servidor principal.

Tomando como ejemplo una gran red empresarial, la empresa construye su propio servidor de tiempo, que es responsable de sincronizar el tiempo desde el servidor maestro de tiempo, y luego es responsable de sincronizar el tiempo con los sistemas empresariales de la empresa. Para asegurar que el retraso de sincronización horaria sea pequeño, cada país ha construido un gran número de servidores temporales según la región como servidor principal para cumplir con los requisitos de sincronización horaria de los distintos sistemas empresariales de Internet.

Con el rápido desarrollo de la informatización de las redes, todos los ámbitos de la vida, incluyendo finanzas, telecomunicaciones, industria, transporte ferroviario, aéreo y otras industrias, dependen cada vez más de la tecnología Ethernet. Todo tipo de cosasAplicación:El sistema consta de diferentes servidores, como electronesNegociosUn sitio web consta de un servidor web, un servidor de autenticación y un servidor de bases de datos, y para que una aplicación web funcione correctamente, es necesario asegurarse de que el reloj entre el servidor web, el servidor de autenticación y el servidor de base de datos esté sincronizado en tiempo real. Por ejemplo, los sistemas de computación en la nube distribuidos, los sistemas de copia de seguridad en tiempo real, los sistemas de facturación, los sistemas de autenticación de seguridad de red e incluso la gestión básica de redes dependen de una sincronización precisa del tiempo.

¿Por qué es tan popular entre los hackers el misterioso NTP Flood?

NTP es un modelo servidor/cliente basado en el protocolo UDP, que presenta un defecto natural de inseguridad debido a la naturaleza no conectada del protocolo UDP (a diferencia de TCP, que tiene un proceso de handshake de tres vías). Los hackers explotaron oficialmente la vulnerabilidad de inseguridad de los servidores NTP para lanzar ataques DDoS. En solo 2 pasos, puedes conseguir fácilmente el efecto de ataque de cuatro o dos jotas.

Paso 1: Encuentra el objetivo, incluyendo el objetivo de ataque y los recursos del servidor NTP en la red.

Paso 2: Forjar la dirección IP del "objetivo de ataque" para enviar un paquete de solicitud de sincronización de reloj de solicitud al servidor NTP, con el fin de aumentar la intensidad del ataque, el paquete de solicitud enviado es un paquete de solicitud Monlist, que es más potente. El protocolo NTP incluye una función monlist que monitoriza el servidor NTP, que responde al comando monlist y devuelve las direcciones IP de los últimos 600 clientes sincronizados con él. Los paquetes de respuesta se dividen cada 6 IPs, y se forman hasta 100 paquetes de respuesta para una solicitud monlista NTP, que tiene una gran capacidad de amplificación. La prueba de simulación de laboratorio muestra que cuando el tamaño del paquete de solicitud es de 234 bytes, cada paquete de respuesta es de 482 bytes, y según estos datos, se calcula el múltiplo de amplificación: ¡482*100/234 = 206 veces!

Guau, jaja~~~ El efecto del ataque es evidente, y el objetivo atacado pronto sufrirá una denegación de servicio, e incluso toda la red estará congestionada.

Desde que el grupo hacker DERP descubrió el efecto de los ataques de reflexión NTP, ha utilizado ataques de reflexión NTP en una serie de ataques DDoS contra grandes compañías de videojuegos, incluyendo EA y Blizzard, a finales de diciembre de 2013. Parece que el misterioso ataque de reflexión NTP en realidad no es misterioso, y tiene el mismo efecto que el ataque de reflexión DNS, que se lanza usando la vulnerabilidad de inseguridad del protocolo UDP y servidores abiertos, pero la diferencia es que NTP es más amenazante, porque cada servidor de centro de datos necesita sincronización de reloj y no puede ser protegido por protocolos y puertos de filtrado.

En resumen, la característica más importante de los ataques reflectivos es que utilizan diversas vulnerabilidades de protocolo para amplificar el efecto del ataque, pero son inseparables; mientras atrapen los "siete pulgadas" del ataque, pueden contenerlo fundamentalmente. Los "siete pulgadas" del ataque reflejado son sus anomalías de tráfico. Esto requiere que el sistema de protección sea capaz de detectar anomalías de tráfico a tiempo, y está lejos de ser suficiente para detectar anomalías, y debe tener un rendimiento suficiente para resistir este ataque simple y brusco; debes saber que los ataques actuales suelen ser de 100G; si el sistema de protección no tiene unas pocas cientos de capacidades de protección G, incluso si se detecta, solo puede mirar fijamente.