|
11. veebruaril 2014 avaldas CloudFlare, et nende kliendid kannatavad NTP all 400G juuresÜleujutusRünnak, värskenda ajaluguDDoSLisaks rünnaku tipule on NTP Floodi rünnakud tööstuses palju tähelepanu pälvinud. Tegelikult, alates sellest, kui häkkerigrupp DERP käivitas peegeldusrünnaku NTP-ga, moodustasid NTP peegeldusrünnakud 69% DoS-rünnakute liiklusest 2014. aasta esimesel nädalal ning kogu NTP rünnaku keskmine suurus oli umbes 7,3G bps sekundis, mis oli kolm korda suurem kui detsembris 2013 täheldatud keskmine rünnakuliiklus.
Vaatame allpool NTP-dServerPõhimõte. NTP (võrguaja protokoll) on standardne võrguaja sünkroniseerimise protokoll, mis kasutab hierarhilist ajajaotuse mudelit. Võrgu arhitektuur hõlmab peamiselt peamisi ajaservereid, orjaajaservereid ja kliente. Peamine ajaserver asub juursõlmes ja vastutab kõrge täpsusega ajaallikatega sünkroniseerimise eest, et pakkuda ajateenuseid teistele sõlmedele. Iga klient sünkroniseeritakse ajaserveri ja peamise serveri vahel. Võttes näiteks suure ettevõtte võrgu, ehitab ettevõte oma ajaserveri, mis vastutab aja sünkroniseerimise eest peamise ajaserveri ja seejärel aja sünkroniseerimise eest ettevõtte ärisüsteemidega. Selleks, et tagada ajasünkroniseerimise viivituse väikesus, on iga riik ehitanud suure hulga ajaservereid vastavalt piirkonnale, mis on peamine ajaserver, et täita erinevate internetiärisüsteemide ajasünkroniseerimise nõudeid. Võrguinformaatika kiire arenguga sõltuvad kõik eluvaldkonnad, sealhulgas rahandus, telekommunikatsioon, tööstus, raudteetransport, lennutransport ja teised tööstusharud, üha enam Etherneti tehnoloogiast. Igasuguseid asjuRakendus:Süsteem koosneb erinevatest serveritest, näiteks elektronidestÄriVeebileht koosneb veebiserverist, autentimisserverist ja andmebaasiserverist ning veebirakenduse nõuetekohaseks toimimiseks tuleb tagada, et kell veebiserveri, autentimisserveri ja andmebaasiserveri vahel on reaalajas sünkroniseeritud. Näiteks hajutatud pilvearvutussüsteemid, reaalajas varundussüsteemid, arveldussüsteemid, võrgu turvalisuse autentimissüsteemid ja isegi põhiline võrguhaldus tuginevad täpsele ajasünkroniseerimisele. Miks on salapärane NTP Flood häkkerite seas nii populaarne? NTP on serveri/kliendi mudel, mis põhineb UDP protokollil, millel on loomulik ebaturvalisuse puudus, kuna UDP protokoll on ühendamata (erinevalt TCP-st, millel on kolmepoolne käepigistusprotsess). Häkkerid kasutasid ametlikult ära NTP serverite ebaturvalist haavatavust, et käivitada DDoS-rünnakuid. Vaid kahe sammuga saad hõlpsasti saavutada nelja või kahe jacki rünnakuefekti. 1. samm: Leia sihtmärk, sealhulgas ründesihtmärk ja võrgu NTP serveri ressursid. 2. samm: "Rünnaku sihtmärgi" IP-aadressi võltsimine ja saatmine päringukella sünkroniseerimistaotluspakett NTP serverisse, et suurendada rünnaku intensiivsust, saadetakse päringupakett Monlisti päringupakett, mis on võimsam. NTP protokoll sisaldab monlisti funktsiooni, mis jälgib NTP serverit, mis reageerib monlisti käsule ja tagastab viimase 600 kliendi IP-aadressid, mis on sellega sünkroniseeritud. Vastuspaketid jagunevad iga 6 IP järgi ning NTP monisti päringu jaoks moodustatakse kuni 100 vastuspaketti, millel on tugev võimendusvõimekus. Laborisimulatsiooni test näitab, et kui päringupaketi suurus on 234 baiti, on iga vastusepakett 482 baiti ning nende andmete põhjal arvutatakse võimenduskordaja: 482*100/234 = 206 korda! Vau, haha~~~ Rünnaku efekt on ilmne ja rünnatud sihtmärk saab peagi teenuse keelamise ning isegi kogu võrk on ummistunud. Alates sellest, kui häkkerigrupp DERP avastas NTP peegeldusrünnakute mõju, on ta kasutanud NTP peegeldusrünnakuid mitmetes DDoS-rünnakutes suurte mängufirmade, sealhulgas EA ja Blizzardi vastu 2013. aasta detsembri lõpus. Tundub, et salapärane NTP peegeldusrünnak ei ole tegelikult salapärane ning sellel on sama mõju nagu DNS-peegeldusrünnak, mis käivitatakse UDP protokolli ebaturvalisuse haavatavuse ja avatud serverite kasutamisel, kuid erinevus seisneb selles, et NTP on ohtlikum, sest iga andmekeskuse server vajab kella sünkroniseerimist ja seda ei saa kaitsta filtreerimisprotokollide ja portidega. Kokkuvõtteks on peegeldavate rünnakute suurim omadus see, et nad kasutavad erinevaid protokolli haavatavusi rünnaku efekti võimendamiseks, kuid need on lahutamatud – seni kuni nad suruvad rünnaku "seitse tolli" kokku, suudavad nad rünnakut põhimõtteliselt piirata. Peegeldunud rünnaku "seitse tolli" on selle liiklusanomaaliad. See eeldab, et kaitsesüsteem suudaks liiklusanomaaliaid õigeaegselt tuvastada, ja see pole kaugeltki piisav, et leida kõrvalekaldeid, ning kaitsesüsteemil peab olema piisavalt jõudlust, et vastu pidada sellele lihtsale ja karmile rünnakule, pead teadma, et praegused rünnakud on sageli 100G, kui kaitsesüsteemil pole mõnisada G kaitsevõimekust, isegi kui see leitakse, saab ta vaid jõllitada.
| 
Postitatud 01.12.2014 14:41:44
|
|
|
|
