[Turvallisuustieto] Puhutaanpa historian suurimmasta 400G mystisestä DDoS-hyökkäyksestä

11. helmikuuta 2014 CloudFlare paljasti, että sen asiakkaat kärsivät NTP:stä 400G-taajuudellaTulvaHyökkäys, päivitä historiaDDoSHyökkäyksen huipun lisäksi NTP Flood -hyökkäykset ovat herättäneet paljon huomiota alalla. Itse asiassa, siitä lähtien kun hakkeriryhmä DERP käynnisti heijastushyökkäyksen NTP:llä, NTP-heijastushyökkäykset muodostivat 69 % DoS-hyökkäysliikenteestä uuden vuoden 2014 ensimmäisellä viikolla, ja koko NTP-hyökkäyksen keskimääräinen koko oli noin 7,3G bps sekunnissa, mikä oli kolme kertaa suurempi kuin joulukuun 2013 keskimääräinen hyökkäysliikenne.

Katsotaanpa alla olevaa NTP:täPalvelinperiaate.

NTP (verkkoaikaprotokolla) on standardi verkon aikasynkronointiprotokolla, joka käyttää hierarkkista aikajakaumamallia. Verkkoarkkitehtuuri sisältää pääasiassa master-aikapalvelimet, orjaaikapalvelimet ja asiakkaat. Pääaikapalvelin sijaitsee juurisolmussa ja vastaa korkean tarkkuuden aikalähteiden synkronoinnista tarjotakseen aikapalveluita muille solmuille. Jokainen asiakas synkronoidaan aikapalvelimen ja pääpalvelimen välillä.

Ottaen esimerkiksi suuren yritysverkon, yritys rakentaa oman aikapalvelimensa, joka vastaa ajan synkronoinnista pääaikapalvelimelta ja sen jälkeen ajan synkronoinnista yrityksen liiketoimintajärjestelmiin. Jotta aikasynkronoinnin viive olisi pieni, jokainen maa on rakentanut suuren määrän aikapalvelimia alueen mukaan pääasialliseksi aikapalvelimeksi täyttämään eri Internet-liiketoimintajärjestelmien aikasynkronointivaatimukset.

Verkkoinformatiikan nopean kehityksen myötä kaikki elämänalueet, mukaan lukien rahoitus, televiestintä, teollisuus, rautatieliikenne, lentoliikenne ja muut alat, ovat yhä enemmän riippuvaisia Ethernet-teknologiasta. Kaikenlaisia asioitaKäyttötarkoitus:Järjestelmä koostuu eri palvelimista, kuten elektroneistaLiiketoimintaVerkkosivusto koostuu web-palvelimesta, todennuspalvelimesta ja tietokantapalvelimesta, ja jotta verkkosovellus toimisi oikein, on varmistettava, että kello web-palvelimen, todennuspalvelimen ja tietokantapalvelimen välillä synkronoidaan reaaliajassa. Esimerkiksi hajautetut pilvipalvelujärjestelmät, reaaliaikaiset varmuuskopiointijärjestelmät, laskutusjärjestelmät, verkon tietoturvatunnistusjärjestelmät ja jopa perusverkonhallinta perustuvat tarkkaan aikasynkronointiin.

Miksi salaperäinen NTP-tulva on niin suosittu hakkerien keskuudessa?

NTP on palvelin/asiakas-malli, joka perustuu UDP-protokollaan, ja siinä on luonnollinen turvattomuus, koska UDP-protokolla on yhdistämätön (toisin kuin TCP, jossa on kolmisuuntainen kättelyprosessi). Hakkerit käyttivät virallisesti hyväkseen NTP-palvelimien turvattomuutta käynnistääkseen DDoS-hyökkäyksiä. Vain kahdessa vaiheessa voit helposti saavuttaa neljän tai kahden jackin hyökkäysvaikutuksen.

Vaihe 1: Löydä kohde, mukaan lukien hyökkäyskohde ja verkon NTP-palvelimen resurssit.

Vaihe 2: Väärentämällä "hyökkäyskohteen" IP-osoite lähettämään pyyntökellon synkronointipyyntöpaketti NTP-palvelimelle, hyökkäyksen intensiteetin lisäämiseksi, lähetetty pyyntöpaketti on Monlistin pyyntöpaketti, joka on tehokkaampi. NTP-protokolla sisältää monlist-toiminnon, joka valvoo NTP-palvelinta, joka vastaa monlist-komentoon ja palauttaa viimeisen 600 sen kanssa synkronoidun asiakkaan IP-osoitteet. Vastauspaketit jaetaan jokaisen kuuden IP:n mukaan, ja NTP-monlistipyyntöä varten muodostetaan jopa 100 vastauspakettia, jolla on vahvat vahvistusominaisuudet. Laboratoriosimulaatiotesti osoittaa, että kun pyyntöpaketin koko on 234 tavua, jokainen vastauspaketti on 482 tavua, ja tämän datan perusteella vahvistuskerroin lasketaan: 482*100/234 = 206 kertaa!

Vau haha~~~ Hyökkäysvaikutus on ilmeinen, ja hyökätty kohde saa pian palvelukatkon, ja koko verkko on ruuhkautunut.

Siitä lähtien kun hakkeriryhmä DERP havaitsi NTP-heijastushyökkäysten vaikutuksen, se on käyttänyt NTP-heijastushyökkäyksiä sarjassa DDoS-hyökkäyksiä suuria peliyrityksiä, kuten EA:ta ja Blizzardia, vastaan joulukuun 2013 lopussa. Vaikuttaa siltä, että salaperäinen NTP-heijastushyökkäys ei itse asiassa ole mysteeri, ja sillä on sama vaikutus kuin DNS-heijastushyökkäys, joka käynnistetään käyttämällä UDP-protokollan turvattomuutta ja avoimia palvelimia, mutta ero on siinä, että NTP on uhkaavampi, koska jokainen datakeskuspalvelin tarvitsee kellosynkronoinnin eikä sitä voi suojata suodatusprotokollilla ja porteilla.

Yhteenvetona: heijastavien hyökkäysten suurin ominaisuus on, että ne käyttävät erilaisia protokollan haavoittuvuuksia hyökkäyksen tehostamiseksi, mutta ne ovat erottamattomat; kunhan ne puristavat hyökkäyksen "seitsemän tuumaa", ne voivat perustavanlaatuisesti rajoittaa hyökkäyksen. Heijastuneen hyökkäyksen "seitsemän tuumaa" ovat sen liikennepoikkeavuuksia. Tämä vaatii, että suojausjärjestelmä pystyy havaitsemaan liikenteen poikkeavuuksia ajoissa, eikä poikkeavuuksien löytäminen riitä riittävästi, ja suojausjärjestelmän on oltava riittävän suorituskykyinen kestämään tämän yksinkertaisen ja karkean hyökkäyksen. Sinun on tiedettävä, että nykyiset hyökkäykset ovat usein 100G; jos suojausjärjestelmällä ei ole muutamia satoja G-suojaominaisuuksia, vaikka se löydettäisiin, se voi vain tuijottaa.