[Connaissances sur la sécurité] Parlons de la plus grande attaque mystérieuse DDoS de 400G de l’histoire

Le 11 février 2014, CloudFlare a révélé que ses clients souffraient de NTP à 400GInondationAttaque, rafraîchissement historiqueDDoSEn plus du pic de trafic de l’attaque, les attaques NTP Flood ont attiré beaucoup d’attention dans le secteur. En fait, depuis que le groupe de hackers DERP a lancé une attaque par réflexion utilisant le NTP, les attaques par réflexion NTP ont représenté 69 % du trafic d’attaque DoS lors de la première semaine du nouvel an 2014, et la taille moyenne de l’attaque NTP totale était d’environ 7,3 G bps par seconde, soit trois fois plus que le trafic moyen observé en décembre 2013.

Regardons NTP ci-dessousserveurPrincipe.

NTP (protocole temps réseau) est un protocole standard de synchronisation temporelle réseau qui adopte un modèle de distribution horaire hiérarchique. L’architecture réseau comprend principalement des serveurs temps maîtres, des serveurs temps esclaves et des clients. Le serveur temporel principal est situé au nœud racine et est responsable de la synchronisation avec les sources temporelles de haute précision pour fournir des services temporels aux autres nœuds. Chaque client est synchronisé par le serveur temporel, du serveur temporel jusqu’au serveur principal.

Prenant un grand réseau d’entreprise comme exemple, l’entreprise construit son propre serveur temporel, responsable de la synchronisation du temps à partir du serveur maître, puis de synchroniser le temps avec les systèmes métier de l’entreprise. Afin de garantir que le délai de synchronisation temporelle soit faible, chaque pays a construit un grand nombre de serveurs temporels selon la région en tant que serveur principal afin de répondre aux exigences de synchronisation temporelle des différents systèmes d’affaires Internet.

Avec le développement rapide de l’informatisation des réseaux, tous les domaines de la vie, y compris la finance, les télécommunications, l’industrie, le transport ferroviaire, le transport aérien et d’autres secteurs, dépendent de plus en plus de la technologie Ethernet. Toutes sortes de chosesApplication :Le système se compose de différents serveurs, tels que les électronsAffairesUn site web se compose d’un serveur web, d’un serveur d’authentification et d’un serveur de base de données, et pour qu’une application web fonctionne correctement, il est nécessaire de s’assurer que l’horloge entre le serveur web, le serveur d’authentification et le serveur de base de données soit synchronisée en temps réel. Par exemple, les systèmes d’informatique cloud distribuée, les systèmes de sauvegarde en temps réel, les systèmes de facturation, les systèmes d’authentification de sécurité réseau et même la gestion réseau basique reposent tous sur une synchronisation temporelle précise.

Pourquoi le mystérieux NTP Flood est-il si populaire auprès des hackers ?

NTP est un modèle serveur/client basé sur le protocole UDP, qui présente un défaut naturel d’insécurité en raison de la nature non connectée du protocole UDP (contrairement à TCP, qui propose un processus de poignée de main à trois voies). Les hackers ont officiellement exploité la vulnérabilité d’insécurité des serveurs NTP pour lancer des attaques DDoS. En seulement 2 étapes, vous pouvez facilement obtenir l’effet d’attaque de quatre ou deux valets.

Étape 1 : Trouvez la cible, y compris la cible d’attaque et les ressources serveur NTP sur le réseau.

Étape 2 : Forger l’adresse IP de la « cible d’attaque » pour envoyer un paquet de requête de synchronisation de l’horloge de requête au serveur NTP, afin d’augmenter l’intensité de l’attaque, le paquet de requête envoyé est un paquet requête Monlist, qui est plus puissant. Le protocole NTP inclut une fonction monlist qui surveille le serveur NTP, qui répond à la commande monlist et renvoie les adresses IP des 600 derniers clients synchronisés avec lui. Les paquets de réponse sont divisés tous les 6 IP, et jusqu’à 100 paquets de réponse seront formés pour une requête monliste NTP, qui possède de fortes capacités d’amplification. Le test de simulation en laboratoire montre que lorsque la taille du paquet de requête est de 234 octets, chaque paquet de réponse est de 482 octets, et sur la base de ces données, le multiple d’amplification est calculé : 482*100/234 = 206 fois !

Waouh haha~~~ L’effet de l’attaque est évident, et la cible attaquée sera bientôt confrontée à un déni de service, et même tout le réseau sera congestionné.

Depuis que le groupe de hackers DERP a découvert l’effet des attaques par réflexion NTP, il a utilisé des attaques par réflexion NTP dans une série d’attaques DDoS contre de grandes entreprises de jeux vidéo, dont EA et Blizzard, fin décembre 2013. Il semble que l’attaque mystérieuse par réflexion NTP ne soit en réalité pas mystérieuse, et qu’elle ait le même effet que l’attaque de réflexion DNS, lancée en utilisant la vulnérabilité d’insécurité du protocole UDP et en utilisant des serveurs ouverts, mais la différence est que NTP est plus menaçant, car chaque serveur de centre de données nécessite une synchronisation d’horloge et ne peut être protégé par des protocoles de filtrage et des ports.

Pour résumer, la principale caractéristique des attaques réfléchissantes est qu’elles utilisent diverses vulnérabilités de protocole pour amplifier l’effet de l’attaque, mais elles sont inséparables : tant qu’elles prennent les « sept pouces » de l’attaque, elles peuvent fondamentalement contenir l’attaque. Les « sept pouces » de l’attaque réfléchie sont ses anomalies de circulation. Cela nécessite que le système de protection puisse détecter les anomalies de circulation à temps, et il est loin d’être suffisant pour détecter les anomalies, et le système de protection doit avoir des performances suffisantes pour résister à cette attaque simple et brutale ; il faut savoir que les attaques actuelles sont souvent à 100G, si le système de protection ne dispose pas de quelques centaines de capacités de protection G, même si elles sont détectées, il ne peut que fixer.