|
2014 m. vasario 11 d. "CloudFlare" atskleidė, kad jos klientai kenčia nuo NTP esant 400GPotvynisAtaka, retrospektyvos atnaujinimasDDoSBe didžiausio atakos srauto, NTP potvynių atakos sulaukė daug dėmesio pramonėje. Tiesą sakant, nuo tada, kai įsilaužėlių grupė DERP pradėjo atspindžio ataką naudodama NTP, NTP atspindžio atakos sudarė 69% DoS atakų srauto pirmąją naujųjų 2014 metų savaitę, o vidutinis visos NTP atakos dydis buvo apie 7,3 G bps per sekundę, o tai buvo tris kartus didesnis nei vidutinis atakų srautas, pastebėtas 2013 m. gruodžio mėn.
Pažvelkime į NTP žemiauserverisprincipą. NTP (tinklo laiko protokolas) yra standartinis tinklo laiko sinchronizavimo protokolas, kuris priima hierarchinį laiko paskirstymo modelį. Tinklo architektūra daugiausia apima pagrindinius laiko serverius, vergų laiko serverius ir klientus. Pagrindinis laiko serveris yra šakniniame mazge ir yra atsakingas už sinchronizavimą su didelio tikslumo laiko šaltiniais, kad būtų galima teikti laiko paslaugas kitiems mazgams. Kiekvieną klientą sinchronizuoja laiko serveris iš laiko serverio per pirminį serverį. Pavyzdžiui, įmonė sukuria savo laiko serverį, kuris yra atsakingas už laiko sinchronizavimą iš pagrindinio laiko serverio, o tada yra atsakingas už laiko sinchronizavimą su įmonės verslo sistemomis. Siekiant užtikrinti, kad laiko sinchronizavimo delsa būtų maža, kiekviena šalis pastatė daug laiko serverių pagal regioną kaip pagrindinį laiko serverį, kad atitiktų įvairių interneto verslo sistemų laiko sinchronizavimo reikalavimus. Sparčiai vystantis tinklo informatizacijai, visos gyvenimo sritys, įskaitant finansus, telekomunikacijas, pramonę, geležinkelių transportą, oro transportą ir kitas pramonės šakas, vis labiau priklauso nuo Ethernet technologijos. Visokie dalykaiTaikymas:Sistema susideda iš skirtingų serverių, tokių kaip elektronaiVerslasSvetainę sudaro žiniatinklio serveris, autentifikavimo serveris ir duomenų bazės serveris, o norint, kad žiniatinklio programa veiktų tinkamai, būtina užtikrinti, kad laikrodis tarp žiniatinklio serverio, autentifikavimo serverio ir duomenų bazės serverio būtų sinchronizuojamas realiuoju laiku. Pavyzdžiui, paskirstytos debesų kompiuterijos sistemos, atsarginės kopijos realiuoju laiku, atsiskaitymo sistemos, tinklo saugumo autentifikavimo sistemos ir net pagrindinis tinklo valdymas priklauso nuo tikslaus laiko sinchronizavimo. Kodėl paslaptingasis NTP potvynis toks populiarus tarp įsilaužėlių? NTP yra serverio / kliento modelis, pagrįstas UDP protokolu, kuris turi natūralų nesaugumo trūkumą dėl nesujungto UDP protokolo pobūdžio (skirtingai nuo TCP, kuris turi trijų krypčių rankos paspaudimo procesą). Įsilaužėliai oficialiai išnaudojo NTP serverių nesaugumo pažeidžiamumą, kad pradėtų DDoS atakas. Vos 2 žingsniais galite lengvai pasiekti keturių ar dviejų domkratų atakos efektą. 1 veiksmas: raskite taikinį, įskaitant atakos taikinį ir NTP serverio išteklius tinkle. 2 veiksmas: "atakos taikinio" IP adreso suklastojimas, kad būtų išsiųstas užklausos laikrodžio sinchronizavimo užklausos paketas į NTP serverį, siekiant padidinti atakos intensyvumą, siunčiamas užklausos paketas yra galingesnis "Monlist" užklausų paketas. NTP protokole yra monlistų funkcija, kuri stebi NTP serverį, kuris reaguoja į monlistų komandą ir grąžina paskutinių 600 su juo sinchronizuotų klientų IP adresus. Atsakymų paketai yra padalinti pagal kas 6 IP adresus, o iki 100 atsakymų paketų bus suformuota NTP monlistų užklausai, kuri turi stiprias amplifikavimo galimybes. Laboratorinio modeliavimo testas rodo, kad kai užklausos paketo dydis yra 234 baitai, kiekvienas atsakymo paketas yra 482 baitai, o remiantis šiais duomenimis apskaičiuojamas amplifikacijos kartotinis: 482*100/234 = 206 kartus! Wow haha~~~ Atakos efektas yra akivaizdus, ir užpultas taikinys netrukus atsisakys paslaugų, ir net visas tinklas bus perpildytas. Nuo tada, kai įsilaužėlių grupė DERP atrado NTP atspindžio atakų poveikį, ji panaudojo NTP atspindžio atakas DDoS atakų serijoje prieš pagrindines žaidimų kompanijas, įskaitant EA ir Blizzard 2013 m. gruodžio pabaigoje. Atrodo, kad paslaptinga NTP atspindžio ataka iš tikrųjų nėra paslaptinga ir turi tokį patį poveikį kaip DNS atspindžio ataka, kuri pradedama naudojant UDP protokolo nesaugumo pažeidžiamumą ir naudojant atvirus serverius, tačiau skirtumas tas, kad NTP yra grėsmingesnis, nes kiekvienam duomenų centro serveriui reikalingas laikrodžio sinchronizavimas ir jo negalima apsaugoti filtravimo protokolais ir prievadais. Apibendrinant galima pasakyti, kad didžiausias atspindinčių atakų bruožas yra tas, kad jie naudoja įvairius protokolo pažeidžiamumus, kad sustiprintų atakos efektą, tačiau jie yra neatsiejami, kol jie suspaudžia "septynis colius" atakos, jie gali iš esmės sustabdyti ataką. "Septyni coliai" atspindėtos atakos yra jos eismo anomalijos. Tam reikia, kad apsaugos sistema sugebėtų laiku aptikti eismo anomalijas, o toli gražu nepakanka rasti anomalijų, o apsaugos sistema turi būti pakankamai naši, kad atsispirtų šiai paprastai ir šiurkščiai atakai, turite žinoti, kad dabartinės atakos dažnai būna 100G, jei apsaugos sistema neturi kelių šimtų G apsaugos galimybių, net jei ji randama, ji gali tik spoksoti.
| 
Paskelbta 2014-12-01 14:41:44
|
|
|
|
