【安全知識】 史上最大の400Gの謎のDDoS攻撃について話しましょう

2014年2月11日、CloudFlareは顧客が400GでNTPに苦しんでいることを明らかにしました洪水攻撃、履歴の更新DDoS(DDoS)攻撃のピークトラフィックに加え、NTPフラッド攻撃は業界内で大きな注目を集めています。 実際、ハッカーグループDERPがNTPを使った反射攻撃を開始して以来、2014年新年の第1週にはDoS攻撃トラフィックの69%がNTPによるものとなり、NTP攻撃全体の平均規模は約7.3G bps/秒で、2013年12月の平均攻撃トラフィックの3倍にあたりました。

以下でNTPを見てみましょうサーバー原則。

NTP(ネットワーク時間プロトコル)は、階層的な時間分配モデルを採用した標準的なネットワーク時間同期プロトコルです。 ネットワークアーキテクチャは主にマスタータイムサーバー、スレーブタイムサーバー、クライアントを含みます。 メインのタイムサーバーはルートノードに設置され、高精度な時間ソースと同期して他のノードに時間サービスを提供する役割を担っています。 各クライアントはタイムサーバーからプライマリサーバーまでタイムサーバーによって同期されます。

大規模なエンタープライズネットワークを例に挙げると、企業は独自のタイムサーバーを構築し、マスタータイムサーバーから時間を同期し、さらにその時間を企業のビジネスシステムに同期する役割を担います。 時間同期遅延を低く抑えるために、各国は地域ごとに多数のタイムサーバーを主要なタイムサーバーとして建設し、さまざまなインターネットビジネスシステムの時間同期要件を満たしています。

ネットワーク情報化の急速な発展により、金融、通信、産業、鉄道輸送、航空輸送などあらゆる分野でイーサネット技術への依存が増えています。 いろいろなことだ応用:システムは電子などの異なるサーバーで構成されていますビジネスウェブサイトはウェブサーバー、認証サーバー、データベースサーバーで構成されており、ウェブアプリケーションが適切に機能するためには、ウェブサーバー、認証サーバー、データベースサーバー間の時計がリアルタイムで同期されていることを確認する必要があります。 例えば、分散クラウドコンピューティングシステム、リアルタイムバックアップシステム、請求システム、ネットワークセキュリティ認証システム、さらには基本的なネットワーク管理までもが正確な時間同期に依存しています。

なぜ謎のNTPフラッドはハッカーにこれほど人気があるのでしょうか?

NTPはUDPプロトコルに基づくサーバー/クライアントモデルであり、UDPプロトコルは接続されていないため、TCPは三者ハンドシェイクプロセスを持つため、自然なセキュリティ上の欠陥があります。 ハッカーはNTPサーバーのセキュリティの脆弱性を公式に悪用し、DDoS攻撃を仕掛けました。 たった2ステップで、4つか2つのジャックの攻撃効果を簡単に達成できます。

ステップ1:ターゲットを特定し、攻撃対象およびネットワーク上のNTPサーバーリソースを含みます。

ステップ2:「攻撃対象」のIPアドレスを偽造して、NTPサーバーに要求クロック同期要求パケットを送信します。攻撃強度を高めるため、送信されるリクエストパケットはより強力なMonlistリクエストパケットとなります。 NTPプロトコルには、NTPサーバーを監視するmonlist機能が含まれており、monlistコマンドに応答して、過去600台の同期されたクライアントのIPアドレスを返します。 応答パケットは6IPごとに分割され、NTPモンリストリクエストに対して最大100の応答パケットが形成されます。NTPは強力な増幅能力を持っています。 実験シミュレーションテストでは、リクエストパケットのサイズが234バイトの場合、各レスポンスパケットは482バイトであり、このデータに基づいて増幅倍数が計算されます:482×100/234=206倍!

すごいはは~~~攻撃効果は明らかで、攻撃対象はすぐにサービス拒否(Doring of Service)を受け、ネットワーク全体が混雑するでしょう。

ハッカーグループDERPはNTP反射攻撃の影響を発見して以来、2013年12月末にはEAやBlizzardを含む大手ゲーム企業に対する一連のDDoS攻撃でNTP反射攻撃を使用しています。 謎のNTP反射攻撃は実際には謎ではなく、UDPプロトコルのセキュリティ脆弱性を利用しオープンサーバーを利用して行われるDNS反射攻撃と同じ効果を持っていますが、違いはNTPがより脅威的である点です。なぜなら、各データセンターサーバーはクロック同期が必要であり、フィルタリングプロトコルやポートで保護できないからです。

まとめると、反射攻撃の最大の特徴は、攻撃効果を増幅するために様々なプロトコルの脆弱性を利用していることですが、攻撃の「7インチ」をつまめさえすれば、根本的に攻撃を封じ込めることができるため、切り離せない存在です。 反射攻撃の「7インチ」はその交通異常を示しています。 これには、交通異常を時間内に検知できる保護システムが必要であり、異常を見つけるだけでは到底不十分です。保護システムはこの単純で荒々しい攻撃に耐えられる十分な性能を持っていなければなりません。現在の攻撃はしばしば100Gであり、数百Gの防護能力がなければ、たとえ見つかってもただ見つめるしかありません。