|
Pada 11 Februari 2014, CloudFlare mengungkapkan bahwa pelanggannya menderita NTP di 400GBanjirSerang, segarkan riwayatDDoSSelain puncak lalu lintas serangan, serangan Banjir NTP telah menarik banyak perhatian di industri ini. Faktanya, sejak kelompok peretas DERP meluncurkan serangan refleksi menggunakan NTP, serangan refleksi NTP menyumbang 69% dari lalu lintas serangan DoS pada minggu pertama tahun baru 2014, dan ukuran rata-rata dari seluruh serangan NTP adalah sekitar 7,3G bps per detik, yang tiga kali lebih tinggi dari rata-rata lalu lintas serangan yang diamati pada Desember 2013.
Mari kita lihat NTP di bawah iniserverprinsip. NTP (protokol waktu jaringan) adalah protokol sinkronisasi waktu jaringan standar yang mengadopsi model distribusi waktu hierarkis. Arsitektur jaringan terutama mencakup server waktu master, server waktu budak, dan klien. Server waktu utama terletak di simpul akar dan bertanggung jawab untuk menyinkronkan dengan sumber waktu presisi tinggi untuk menyediakan layanan waktu ke simpul lain. Setiap klien disinkronkan oleh server waktu dari server waktu melalui server utama. Mengambil jaringan perusahaan besar sebagai contoh, perusahaan membangun server waktunya sendiri, yang bertanggung jawab untuk menyinkronkan waktu dari server waktu master, dan kemudian bertanggung jawab untuk menyinkronkan waktu ke sistem bisnis perusahaan. Untuk memastikan bahwa penundaan sinkronisasi waktu kecil, setiap negara telah membangun server waktu dalam jumlah besar sesuai dengan wilayah sebagai server waktu utama untuk memenuhi persyaratan sinkronisasi waktu berbagai sistem bisnis Internet. Dengan pesatnya perkembangan informatisasi jaringan, semua lapisan masyarakat, termasuk keuangan, telekomunikasi, industri, transportasi kereta api, transportasi udara, dan industri lainnya, semakin bergantung pada teknologi Ethernet. Segala macam halAplikasi:Sistem ini terdiri dari server yang berbeda, seperti elektronBisnisSitus web terdiri dari server web, server otentikasi, dan server database, dan agar aplikasi web berfungsi dengan baik, perlu untuk memastikan bahwa jam antara server web, server otentikasi, dan server database disinkronkan secara real time. Misalnya, sistem komputasi awan terdistribusi, sistem pencadangan waktu nyata, sistem penagihan, sistem otentikasi keamanan jaringan, dan bahkan manajemen jaringan dasar semuanya mengandalkan sinkronisasi waktu yang akurat. Mengapa Banjir NTP yang misterius begitu populer di kalangan peretas? NTP adalah model server/klien berdasarkan protokol UDP, yang memiliki kelemahan keamanan alami karena sifat protokol UDP yang tidak terhubung (tidak seperti TCP, yang memiliki proses jabat tangan tiga arah). Peretas secara resmi mengeksploitasi kerentanan ketidakamanan server NTP untuk meluncurkan serangan DDoS. Hanya dalam 2 langkah, Anda dapat dengan mudah mencapai efek serangan empat atau dua dongkrak. Langkah 1: Temukan target, termasuk target serangan dan sumber daya server NTP di jaringan. Langkah 2: Memalsukan alamat IP "target serangan" untuk mengirim paket permintaan sinkronisasi jam permintaan ke server NTP, untuk meningkatkan intensitas serangan, paket permintaan yang dikirim adalah paket permintaan Monlist, yang lebih kuat. Protokol NTP menyertakan fungsi monlist yang memantau server NTP, yang merespons perintah monlist dan mengembalikan alamat IP dari 600 klien terakhir yang telah disinkronkan dengannya. Paket respons dibagi sesuai dengan setiap 6 IP, dan hingga 100 paket respons akan dibentuk untuk permintaan NTP monlist, yang memiliki kemampuan amplifikasi yang kuat. Uji simulasi lab menunjukkan bahwa ketika ukuran paket permintaan adalah 234 byte, setiap paket respons adalah 482 byte, dan berdasarkan data ini, kelipatan amplifikasi dihitung: 482*100/234 = 206 kali! Wow haha~~~ Efek serangannya jelas, dan target yang diserang akan segera mengalami penolakan layanan, dan bahkan seluruh jaringan akan padat. Sejak kelompok peretas DERP menemukan efek serangan refleksi NTP, mereka telah menggunakan serangan refleksi NTP dalam serangkaian serangan DDoS terhadap perusahaan game besar termasuk EA dan Blizzard pada akhir Desember 2013. Tampaknya serangan refleksi NTP yang misterius sebenarnya tidak misterius, dan memiliki efek yang sama dengan serangan refleksi DNS, yang diluncurkan dengan menggunakan kerentanan ketidakamanan protokol UDP dan menggunakan server terbuka, namun bedanya NTP lebih mengancam, karena setiap server data center membutuhkan sinkronisasi clock dan tidak dapat dilindungi dengan menyaring protokol dan port. Singkatnya, fitur terbesar dari serangan reflektif adalah mereka menggunakan berbagai kerentanan protokol untuk memperkuat efek serangan, tetapi tidak dapat dipisahkan, selama mereka mencubit "tujuh inci" serangan, mereka pada dasarnya dapat menahan serangan. "Tujuh inci" dari serangan yang dipantulkan adalah anomali lalu lintasnya. Ini membutuhkan sistem perlindungan untuk dapat mendeteksi anomali lalu lintas tepat waktu, dan jauh dari cukup untuk menemukan kelainan, dan sistem perlindungan harus memiliki kinerja yang cukup untuk menahan serangan sederhana dan kasar ini, Anda harus tahu bahwa serangan saat ini seringkali 100G, jika sistem perlindungan tidak memiliki beberapa ratus kemampuan perlindungan G, bahkan jika ditemukan, itu hanya bisa menatap.
| 
Diposting pada 01/12/2014 14.41.44
|
|
|
|
