|
2014. gada 11. februārī CloudFlare atklāja, ka tā klienti cieš no NTP pie 400GPlūdiUzbrukums, atsvaidzināt vēsturiDDoSPapildus uzbrukuma maksimālajai trafikam, NTP plūdu uzbrukumi ir piesaistījuši lielu uzmanību nozarē. Faktiski, tā kā hakeru grupa DERP uzsāka refleksijas uzbrukumu, izmantojot NTP, NTP refleksijas uzbrukumi veidoja 69% no DoS uzbrukuma datplūsmas jaunā gada pirmajā nedēļā 2014, un vidējais kopējais NTP uzbrukuma lielums bija aptuveni 7,3 G bps sekundē, kas bija trīs reizes lielāks nekā vidējais uzbrukuma trafiks, kas novērots 2013. gada decembrī.
Apskatīsim NTP zemākserverisprincips. NTP (tīkla laika protokols) ir standarta tīkla laika sinhronizācijas protokols, kas pieņem hierarhisku laika sadales modeli. Tīkla arhitektūra galvenokārt ietver galvenos laika serverus, vergu laika serverus un klientus. Galvenais laika serveris atrodas saknes mezglā un ir atbildīgs par sinhronizāciju ar augstas precizitātes laika avotiem, lai nodrošinātu laika pakalpojumus citiem mezgliem. Katru klientu sinhronizē laika serveris no laika servera līdz primārajam serverim. Piemēram, liels uzņēmuma tīkls, uzņēmums veido savu laika serveri, kas ir atbildīgs par laika sinhronizēšanu no galvenā laika servera, un pēc tam ir atbildīgs par laika sinhronizēšanu ar uzņēmuma biznesa sistēmām. Lai nodrošinātu, ka laika sinhronizācijas aizkave ir neliela, katra valsts ir izveidojusi lielu skaitu laika serveru atbilstoši reģionam kā galveno laika serveri, lai apmierinātu dažādu interneta biznesa sistēmu laika sinhronizācijas prasības. Strauji attīstoties tīkla informatizācijai, visas dzīves jomas, tostarp finanses, telekomunikācijas, rūpniecība, dzelzceļa transports, gaisa transports un citas nozares, arvien vairāk ir atkarīgas no Ethernet tehnoloģijas. Visu veidu lietasPieteikums:Sistēma sastāv no dažādiem serveriem, piemēram, elektroniemBiznessTīmekļa vietne sastāv no tīmekļa servera, autentifikācijas servera un datu bāzes servera, un, lai tīmekļa lietojumprogramma darbotos pareizi, ir jānodrošina, ka pulkstenis starp tīmekļa serveri, autentifikācijas serveri un datu bāzes serveri tiek sinhronizēts reāllaikā. Piemēram, izkliedētās mākoņdatošanas sistēmas, reāllaika rezerves sistēmas, norēķinu sistēmas, tīkla drošības autentifikācijas sistēmas un pat pamata tīkla pārvaldība paļaujas uz precīzu laika sinhronizāciju. Kāpēc noslēpumainais NTP plūds ir tik populārs hakeru vidū? NTP ir servera/klienta modelis, kura pamatā ir UDP protokols, kuram ir dabisks nedrošības trūkums, jo UDP protokols nav saistīts (atšķirībā no TCP, kuram ir trīsvirzienu rokasspiediena process). Hakeri oficiāli izmantoja NTP serveru nedrošības ievainojamību, lai uzsāktu DDoS uzbrukumus. Tikai 2 soļos jūs varat viegli sasniegt četru vai divu domkratu uzbrukuma efektu. 1. solis: atrodiet mērķi, ieskaitot uzbrukuma mērķi un NTP servera resursus tīklā. 2. solis: "uzbrukuma mērķa" IP adreses viltošana, lai nosūtītu pieprasījuma pulksteņa sinhronizācijas pieprasījuma paketi uz NTP serveri, lai palielinātu uzbrukuma intensitāti, nosūtītā pieprasījuma pakete ir Monlist pieprasījuma pakete, kas ir jaudīgāka. NTP protokolā ir iekļauta monlista funkcija, kas uzrauga NTP serveri, kas reaģē uz monlistu komandu un atgriež pēdējo 600 ar to sinhronizēto klientu IP adreses. Atbilžu paketes tiek sadalītas pēc katriem 6 IP, un NTP monlistu pieprasījumam tiks izveidotas līdz 100 atbilžu paketēm, kurām ir spēcīgas pastiprināšanas iespējas. Laboratorijas simulācijas tests parāda, ka, ja pieprasījuma paketes lielums ir 234 baiti, katra atbildes pakete ir 482 baiti, un, pamatojoties uz šiem datiem, tiek aprēķināts pastiprināšanas daudzkārtējs: 482 * 100/234 = 206 reizes! Wow haha~~~ Uzbrukuma efekts ir acīmredzams, un uzbrukuma mērķim drīz būs pakalpojuma atteikums, un pat viss tīkls būs pārslogots. Kopš hakeru grupa DERP atklāja NTP atstarošanas uzbrukumu ietekmi, tā ir izmantojusi NTP atstarošanas uzbrukumus vairākos DDoS uzbrukumos pret lielākajiem spēļu uzņēmumiem, tostarp EA un Blizzard 2013. gada decembra beigās. Šķiet, ka noslēpumainais NTP atspoguļojuma uzbrukums patiesībā nav noslēpumains, un tam ir tāda pati ietekme kā DNS atspoguļojuma uzbrukumam, kas tiek uzsākts, izmantojot UDP protokola nedrošības ievainojamību un izmantojot atvērtus serverus, bet atšķirība ir tāda, ka NTP ir draudīgāks, jo katram datu centra serverim ir nepieciešama pulksteņa sinhronizācija, un to nevar aizsargāt ar filtrēšanas protokoliem un portiem. Rezumējot, atstarojošo uzbrukumu lielākā iezīme ir tā, ka tie izmanto dažādas protokola ievainojamības, lai pastiprinātu uzbrukuma efektu, taču tie ir neatdalāmi, ja vien tie saspiež uzbrukuma "septiņas collas", tie var būtiski ierobežot uzbrukumu. Atspoguļotā uzbrukuma "septiņas collas" ir tā satiksmes anomālijas. Tas prasa, lai aizsardzības sistēma spētu savlaicīgi atklāt satiksmes anomālijas, un tas nebūt nav pietiekami, lai atrastu novirzes, un aizsardzības sistēmai jābūt pietiekami veiktspējai, lai pretoties šim vienkāršajam un raupjam uzbrukumam, jums jāzina, ka pašreizējie uzbrukumi bieži ir 100G, ja aizsardzības sistēmai nav dažu simtu G aizsardzības iespēju, pat ja tā tiek atrasta, tā var tikai skatīties.
| 
Publicēts 01.12.2014 14:41:44
|
|
|
|
