[Conoscenze sulla sicurezza] Parliamo del più grande e misterioso attacco DDoS a 400G della storia

L'11 febbraio 2014, CloudFlare ha rivelato che i suoi clienti soffrivano di NTP a 400GDiluvioAttacco, aggiorna la cronologiaDDoSOltre al traffico di picco dell'attacco, gli attacchi NTP Flood hanno attirato molta attenzione nel settore. Infatti, da quando il gruppo hacker DERP ha lanciato un attacco di riflessione usando NTP, gli attacchi di riflessione NTP hanno rappresentato il 69% del traffico di attacco DoS nella prima settimana del nuovo anno 2014, e la dimensione media dell'intero attacco NTP è stata di circa 7,3G bps al secondo, tre volte superiore al traffico medio di attacco osservato nel dicembre 2013.

Vediamo qui sotto NTPServerprincipio.

NTP (network time protocol) è un protocollo standard di sincronizzazione temporale di rete che adotta un modello di distribuzione gerarchica del tempo. L'architettura di rete include principalmente server di tempo master, server di tempo schiavo e client. Il server temporale principale si trova nel nodo radice ed è responsabile della sincronizzazione con sorgenti temporali ad alta precisione per fornire servizi temporali ad altri nodi. Ogni client è sincronizzato dal server temporale dal server temporale fino al server primario.

Prendendo come esempio una grande rete aziendale, l'azienda costruisce il proprio server temporale, responsabile della sincronizzazione del tempo dal server master e poi della sincronizzazione dell'ora con i sistemi aziendali dell'azienda. Per garantire che il ritardo di sincronizzazione temporale sia piccolo, ogni paese ha costruito un gran numero di server temporali in base alla regione come server principale per soddisfare i requisiti di sincronizzazione temporale dei vari sistemi aziendali Internet.

Con il rapido sviluppo dell'informatizzazione delle reti, tutti i settori della vita, inclusi finanza, telecomunicazioni, industria, trasporto ferroviario, aereo e altri settori, dipendono sempre più dalla tecnologia Ethernet. Ogni tipo di cosaApplicazione:Il sistema è composto da diversi server, come gli elettroniAziendaUn sito web è composto da un server web, un server di autenticazione e un server di database, e affinché un'applicazione web funzioni correttamente è necessario assicurarsi che il clock tra il server web, il server di autenticazione e il server database sia sincronizzato in tempo reale. Ad esempio, i sistemi di cloud computing distribuito, i sistemi di backup in tempo reale, i sistemi di fatturazione, i sistemi di autenticazione della sicurezza di rete e persino la gestione di rete di base si basano tutti su una sincronizzazione temporale accurata.

Perché il misterioso NTP Flood è così popolare tra gli hacker?

NTP è un modello server/client basato sul protocollo UDP, che presenta un difetto naturale di insicurezza dovuto alla natura non connessa del protocollo UDP (a differenza di TCP, che ha un processo di handshake a tre vie). Gli hacker hanno ufficialmente sfruttato la vulnerabilità di insicurezza dei server NTP per lanciare attacchi DDoS. In soli 2 passaggi, puoi facilmente ottenere l'effetto d'attacco di quattro o due jack.

Passo 1: Trova il bersaglio, inclusi il target di attacco e le risorse server NTP sulla rete.

Passo 2: Forgiare l'indirizzo IP del "target di attacco" per inviare un pacchetto di richiesta di sincronizzazione del clock al server NTP, per aumentare l'intensità dell'attacco, il pacchetto richiesta inviato è un pacchetto di richiesta Monlist, che è più potente. Il protocollo NTP include una funzione monlist che monitora il server NTP, che risponde al comando monlist e restituisce gli indirizzi IP degli ultimi 600 client sincronizzati con esso. I pacchetti di risposta sono suddivisi ogni 6 IP e vengono formati fino a 100 pacchetti di risposta per una richiesta monlista NTP, che ha forti capacità di amplificazione. Il test di simulazione di laboratorio mostra che quando la dimensione del pacchetto richiesta è di 234 byte, ogni pacchetto di risposta è di 482 byte, e sulla base di questi dati si calcola il multiplo di amplificazione: 482*100/234 = 206 volte!

Wow haha~~~ L'effetto dell'attacco è evidente, e il bersaglio attaccato subirà presto un negamento di servizio, e persino l'intera rete sarà congestionata.

Da quando il gruppo hacker DERP ha scoperto l'effetto degli attacchi di riflessione NTP, ha utilizzato attacchi di riflessione NTP in una serie di attacchi DDoS contro grandi aziende di videogiochi tra cui EA e Blizzard alla fine di dicembre 2013. Sembra che il misterioso attacco di riflessione NTP in realtà non sia misterioso, e abbia lo stesso effetto dell'attacco di riflessione DNS, che viene lanciato utilizzando la vulnerabilità di insicurezza del protocollo UDP e server aperti, ma la differenza è che NTP è più minaccioso, perché ogni server di data center necessita di sincronizzazione di clock e non può essere protetto da protocolli di filtraggio e porte.

In sintesi, la caratteristica più importante degli attacchi riflettenti è che utilizzano varie vulnerabilità di protocollo per amplificare l'effetto dell'attacco, ma sono inseparabili; finché pizzicano i "sette pollici" dell'attacco, possono fondamentalmente contenerlo. I "sette pollici" dell'attacco riflesso sono le sue anomalie di traffico. Questo richiede che il sistema di protezione sia in grado di rilevare le anomalie del traffico in tempo, e non è affatto sufficiente per individuare anomalie, e deve avere prestazioni sufficienti per resistere a questo attacco semplice e grezzo; bisogna sapere che gli attacchi attuali sono spesso a 100G; se il sistema di protezione non dispone di qualche centinaio di capacità di protezione G, anche se viene individuato, può solo fissare.