[Biztonsági tudás] Beszéljünk a történelem legnagyobb 400 G-es titokzatos DDoS támadásáról

2014. február 11-én a CloudFlare felfedte, hogy ügyfelei 400G-s NTP-vel küzdenekÁrvízTámadás, történelem frissítéseDDoSA támadás csúcsforgalmán túl az NTP Flood támadások is nagy figyelmet keltettek az iparágban. Valójában, mivel a DERP hackercsoport NTP-vel indított visszaverődési támadást, az NTP visszaverődési támadások a 2014-es év első hetében a DoS támadási forgalom 69%-át tették ki, és az egész NTP támadás átlagos mérete körülbelül 7,3G bps per másodperc volt, ami háromszor magasabb volt a 2013 decemberében megfigyelt átlagos támadásforgalomnál.

Nézzük meg az NTP-t lentebbszerverelv.

Az NTP (hálózati időprotokoll) egy szabványos hálózati időszinkronizációs protokoll, amely hierarchikus időeloszlási modellt alkalmaz. A hálózati architektúra főként master time szervereket, slave time szervereket és klienseket foglal magában. A fő időszerver a gyökércsomópontnál található, és felelős a nagy pontosságú időforrások szinkronizálásáért, hogy időszolgáltatásokat nyújtson más csomópontoknak. Minden klienst az időszerver szinkronizál az időszervertől az elsődleges szerverig.

Egy nagy vállalati hálózatot példaként a vállalat saját időszervert épít fel, amely felelős az idő szinkronizálásáért a mesteridőszerverről, majd az idő szinkronizálásáért a vállalat üzleti rendszereivel. Annak érdekében, hogy az időszinkronizációs késleltetés kicsi legyen, minden ország régió szerint sok időszervert épített ki, mint fő időszervert, hogy megfeleljen a különböző internetes üzleti rendszerek időszinkronizációs követelményeinek.

A hálózati informalizáció gyors fejlődésével az élet minden területe, beleértve a pénzügyeket, távközlést, ipart, vasúti közlekedést, légiközlekedést és más iparágakat – egyre inkább az Ethernet technológiára épül. Mindenféle dologAlkalmazás:A rendszer különböző szerverekből áll, például elektronokbólÜzletEgy weboldal webszerverből, hitelesítési szerverből és adatbázis-szerverből áll, és ahhoz, hogy egy webalkalmazás megfelelően működjön, biztosítani kell, hogy a webszerver, a hitelesítési szerver és az adatbázis-szerver közötti óraidő valós időben szinkronizálva legyen. Például az elosztott felhőalapú számítástechnikai rendszerek, valós idejű mentési rendszerek, számlázási rendszerek, hálózati biztonsági hitelesítési rendszerek, sőt az alapvető hálózatmenedzsment is pontosan az időalapú szinkronizációra támaszkodnak.

Miért olyan népszerű a titokzatos NTP Flood a hackerek körében?

Az NTP egy szerver/kliens modell, amely az UDP protokollon alapul, amelynek természetes biztonsági hibája van az UDP protokoll nem csatlakoztatott jellege miatt (ellentétben a TCP-vel, amely háromirányú kézfogási folyamatot alkalmaz). A hackerek hivatalosan kihasználták az NTP szerverek biztonsági kockázatát, hogy DDoS támadásokat indítsanak. Mindössze két lépésben könnyedén elérheted a négy-két jack támadási hatását.

1. lépés: Találd meg a célpontot, beleértve a támadási célpontot és a hálózaton lévő NTP szerver erőforrásait.

2. lépés: A "támadó célpont" IP-címének hamisítása, hogy kérésóra szinkronizációs kérvénycsomagot küldjön az NTP szervernek, hogy növeljük a támadás intenzitását, a küldött kéréscsomag egy Monlist kéréscsomag, amely erősebb. Az NTP protokoll tartalmaz egy monlist funkciót, amely figyeli az NTP szervert, amely reagál a monlist parancsra, és visszaadja az utolsó 600 kliens IP-címét, amelyeket vele szinkronizáltak. A válaszcsomagokat minden 6 IP-re osztják fel, és egy NTP monlist kéréshez akár 100 válaszcsomag is alakul ki, amely erős erősítési képességekkel rendelkezik. A laboratóriumi szimulációs teszt azt mutatja, hogy ha a kéréscsomag mérete 234 bájt, akkor minden válaszcsomag 482 bájt, és ezen adatok alapján az erősítési többszörös kiszámítható: 482*100/234 = 206 szer!

Hűhaha~~~ A támadás hatása nyilvánvaló, és a támadt célpont hamarosan szolgáltatáskizárást kap, sőt az egész hálózat is elzsúfolódik.

Mióta a DERP hackercsoport felfedezte az NTP visszaverődési támadások hatását, NTP visszaverődési támadásokat alkalmaztak egy sor DDoS támadásban nagy játékvállalatok, köztük az EA és a Blizzard ellen 2013 decemberének végén. Úgy tűnik, hogy a titokzatos NTP visszaverődési támadás valójában nem rejtélyes, és ugyanazt a hatást nyújtja, mint a DNS visszaverődés támadása, amelyet az UDP protokoll biztonsági instabilitásának kihasználásával és nyitott szerverekkel indítanak el, de a különbség az, hogy az NTP fenyegetőbb, mert minden adatközpont szervernek órakellel szinkronizációra van szüksége, és nem védik szűrőprotokollokkal és portokkal.

Összefoglalva, a reflektív támadások legnagyobb jellemzője, hogy különböző protokollsebezhetőségeket használnak a támadás hatásának felerősítésére, de ezek elválaszthatatlanok, amíg megcsípik a támadás "hét hüvelykét", alapvetően meg tudják fogni a támadást. A visszavert támadás "hét hüvelyk" a forgalmi anomáliái. Ez megköveteli, hogy a védelmi rendszer időben észlelje a forgalmi anomáliákat, és messze nem elég az eltérések felfedezéséhez, és a védelmi rendszernek elég teljesítményt kell biztosítania ahhoz, hogy ellenálljon ennek az egyszerű és durva támadásnak; tudni kell, hogy a jelenlegi támadások gyakran 100G-osak, ha a védelmi rendszer nem rendelkezik néhány száz G védelmi képességgel, még ha megtalálják is, csak bámulni tud.