[안전 지식] 역사상 가장 큰 400G 규모의 미스터리한 DDoS 공격에 대해 이야기해 봅시다

2014년 2월 11일, CloudFlare는 고객들이 400G에서 NTP 문제를 겪고 있다고 공개했습니다홍수공격, 기록 새로고침DDoS공격의 정점적인 트래픽 외에도, NTP 플러드 공격은 업계에서 큰 관심을 끌고 있습니다. 실제로 해커 그룹 DERP가 NTP를 이용한 반사 공격을 시작한 이후, 2014년 새해 첫날 DoS 공격 트래픽의 69%가 NTP 반사 공격이었으며, 전체 NTP 공격의 평균 크기는 초당 약 7.3G bps로, 2013년 12월 평균 공격 트래픽의 세 배에 달했습니다.

아래에서 NTP를 살펴보겠습니다서버원칙.

NTP(네트워크 시간 프로토콜)는 계층적 시간 분배 모델을 채택한 표준 네트워크 시간 동기화 프로토콜입니다. 네트워크 아키텍처는 주로 마스터 타임 서버, 슬레이브 타임 서버, 클라이언트를 포함합니다. 주 시간 서버는 루트 노드에 위치하며, 고정밀 시간 소스와 동기화하여 다른 노드에 시간 서비스를 제공하는 역할을 합니다. 각 클라이언트는 타임서버에서 주 서버를 통해 동기화됩니다.

대규모 기업 네트워크를 예로 들면, 기업은 자체 타임서버를 구축하여 마스터 타임서버로부터 시간을 동기화하고, 이후 기업의 비즈니스 시스템과 시간을 동기화하는 역할을 합니다. 시간 동기화 지연을 최소화하기 위해 각 국가는 다양한 인터넷 비즈니스 시스템의 시간 동기화 요구를 충족하기 위해 지역별로 다수의 시간 서버를 주요 시간 서버로 구축했습니다.

네트워크 정보화의 급속한 발전으로 금융, 통신, 산업, 철도 운송, 항공 운송 등 모든 산업이 이더넷 기술에 점점 더 의존하고 있습니다. 온갖 것들이 있어요적용 방법:시스템은 전자와 같은 서로 다른 서버로 구성되어 있습니다사업웹사이트는 웹 서버, 인증 서버, 데이터베이스 서버로 구성되며, 웹 애플리케이션이 제대로 작동하려면 웹 서버, 인증 서버, 데이터베이스 서버 간의 시계가 실시간으로 동기화되어야 합니다. 예를 들어, 분산 클라우드 컴퓨팅 시스템, 실시간 백업 시스템, 청구 시스템, 네트워크 보안 인증 시스템, 심지어 기본 네트워크 관리까지 모두 정확한 시간 동기화에 의존합니다.

왜 신비로운 NTP 플러드는 해커들에게 그렇게 인기가 많을까요?

NTP는 UDP 프로토콜을 기반으로 한 서버/클라이언트 모델로, UDP 프로토콜이 연결되지 않은 특성으로 인해 자연스러운 보안성 저하가 있습니다(TCP는 3방향 핸드셰이크 프로세스를 가진 것과 달리). 해커들은 공식적으로 NTP 서버의 보안 취약점을 이용해 DDoS 공격을 실행했습니다. 단 2단계만으로도 네 개나 두 개의 잭 공격 효과를 쉽게 낼 수 있습니다.

1단계: 공격 대상 및 네트워크 내 NTP 서버 자원을 포함한 대상을 찾습니다.

2단계: 공격 대상의 IP 주소를 위조하여 NTP 서버에 요청 클럭 동기화 요청 패킷을 보내는 것, 공격 강도를 높이기 위해 전송되는 요청 패킷은 더 강력한 Monlist 요청 패킷입니다. NTP 프로토콜에는 Monlist 함수가 포함되어 있으며, 이 기능은 NTP 서버를 모니터링하며, monlist 명령에 응답하여 최근 동기화된 600개의 클라이언트의 IP 주소를 반환합니다. 응답 패킷은 6개의 IP마다 나뉘며, NTP monlist 요청에 대해 최대 100개의 응답 패킷이 생성되며, NTP monlist 요청은 강력한 증폭 기능을 갖추고 있습니다. 실험실 시뮬레이션 테스트에 따르면 요청 패킷 크기가 234바이트일 때 각 응답 패킷은 482바이트이며, 이 데이터를 바탕으로 증폭 배수가 계산됩니다: 482*100/234 = 206배!

와우 하하~~~ 공격 효과가 명확하고, 공격받은 대상은 곧 서비스 거부 상태에 빠지고, 네트워크 전체가 혼잡해질 것입니다.

해커 그룹 DERP가 NTP 반사 공격의 효과를 발견한 이후, 2013년 12월 말 EA와 블리자드 등 주요 게임 회사들을 대상으로 일련의 DDoS 공격에 NTP 반사 공격을 사용했습니다. 신비로운 NTP 반사 공격은 사실 신비롭지 않은 것으로 보이며, UDP 프로토콜의 불안정성을 이용해 오픈 서버를 이용해 발동되는 DNS 반사 공격과 동일한 효과를 가집니다. 다만 차이점은 NTP가 더 위협적이라는 점입니다. 각 데이터 센터 서버는 시계 동기화가 필요하고 필터링 프로토콜과 포트로 보호할 수 없기 때문입니다.

요약하자면, 반사 공격의 가장 큰 특징은 다양한 프로토콜 취약점을 이용해 공격 효과를 증폭시킨다는 점이지만, 공격의 '7인치'를 조금만 잡으면 근본적으로 공격을 억제할 수 있어 분리할 수 없습니다. 반사된 공격의 '7인치'는 그 차량 변칙을 의미합니다. 이는 보호 시스템이 교통 이상 신호를 제때 감지할 수 있어야 하며, 이상 징후를 발견하기에는 충분하지 않다. 보호 시스템은 이 단순하고 거친 공격을 견딜 수 있는 충분한 성능을 갖추어야 한다. 현재 공격은 보통 100G에 달한다는 점을 알아야 한다. 보호 시스템이 몇 백 G 보호 능력이 없으면 발견되더라도 그저 응시만 할 수 있다.