[Sikkerhetskunnskap] La oss snakke om det største 400G mystiske DDoS-angrepet i historien

Den 11. februar 2014 avslørte CloudFlare at kundene deres led av NTP på 400GFlomAngrip, oppdater historikkenDDoSI tillegg til den høye trafikken etter angrepet, har NTP Flood-angrep tiltrukket seg mye oppmerksomhet i bransjen. Faktisk, siden hackergruppen DERP lanserte et refleksjonsangrep med NTP, sto NTP-refleksjonsangrep for 69 % av DoS-angrepstrafikken i den første uken av det nye året 2014, og gjennomsnittlig størrelse på hele NTP-angrepet var omtrent 7,3 G bps per sekund, noe som var tre ganger høyere enn gjennomsnittlig angrepstrafikk observert i desember 2013.

La oss se på NTP nedenforServerprinsipp.

NTP (nettverkstidsprotokoll) er en standard nettverkstidssynkroniseringsprotokoll som benytter en hierarkisk tidsfordelingsmodell. Nettverksarkitekturen inkluderer hovedsakelig master time-servere, slave-time-servere og klienter. Hovedtidsserveren er plassert ved rotnoden og har ansvar for å synkronisere med høypresisjons tidskilder for å levere tidstjenester til andre noder. Hver klient synkroniseres av tidsserveren fra tidsserveren til primærserveren.

Tar vi et stort bedriftsnettverk som eksempel, bygger virksomheten sin egen tidsserver, som er ansvarlig for å synkronisere tiden fra hovedtidsserveren, og deretter for å synkronisere tiden til virksomhetens forretningssystemer. For å sikre at tidssynkroniseringsforsinkelsen er liten, har hvert land bygget et stort antall tidsservere i henhold til regionen som hovedtidsserver for å møte tidssynkroniseringskravene til ulike Internett-forretningssystemer.

Med den raske utviklingen av nettverksinformatikk blir alle samfunnslag, inkludert finans, telekommunikasjon, industri, jernbanetransport, lufttransport og andre industrier, i økende grad avhengige av Ethernet-teknologi. Alle slags tingAnvendelse:Systemet består av ulike servere, som elektronerNæringslivEt nettsted består av en webserver, en autentiseringsserver og en databaseserver, og for at en webapplikasjon skal fungere som den skal, er det nødvendig å sikre at klokken mellom webserver, autentiseringsserver og databaseserver synkroniseres i sanntid. For eksempel er distribuerte skybaserte datasystemer, sanntids backup-systemer, faktureringssystemer, nettverkssikkerhetsautentiseringssystemer og til og med grunnleggende nettverksadministrasjon alle avhengige av nøyaktig tidssynkronisering.

Hvorfor er den mystiske NTP Flood så populær blant hackere?

NTP er en server/klient-modell basert på UDP-protokollen, som har en naturlig usikkerhetssvakhet på grunn av UDP-protokollens ikke-tilkoblede natur (i motsetning til TCP, som har en treveis håndtrykksprosess). Hackerne utnyttet offisielt den usikkerhetssårbarheten til NTP-servere for å iverksette DDoS-angrep. På bare 2 steg kan du lett oppnå angrepseffekten av fire eller to jacks.

Trinn 1: Finn målet, inkludert angrepsmålet og NTP-serverressursene på nettverket.

Trinn 2: Forfalske IP-adressen til "angrepsmålet" for å sende en forespørselsklokkesynkroniseringspakke til NTP-serveren, for å øke angrepsintensiteten, er forespørselspakken sendt en Monlist-forespørselspakke, som er kraftigere. NTP-protokollen inkluderer en monlist-funksjon som overvåker NTP-serveren, som svarer på monlist-kommandoen og returnerer IP-adressene til de siste 600 klientene som er synkronisert med den. Responspakkene deles opp etter hver 6. IP, og opptil 100 responspakker vil bli dannet for en NTP monlist-forespørsel, som har sterke forsterkningsmuligheter. Lab-simuleringstesten viser at når størrelsen på forespørselspakken er 234 byte, er hver responspakke 482 byte, og basert på disse dataene beregnes forsterkningsmultiplikatoren: 482*100/234 = 206 ganger!

Wow haha~~~ Angrepseffekten er åpenbar, og det angrepne målet vil snart få tjenestenekt, og til og med hele nettverket vil være overbelastet.

Siden hackergruppen DERP oppdaget effekten av NTP-refleksjonsangrep, har de brukt NTP-refleksjonsangrep i en serie DDoS-angrep mot store spillselskaper, inkludert EA og Blizzard, i slutten av desember 2013. Det ser ut til at det mystiske NTP-refleksjonsangrepet faktisk ikke er mystisk, og det har samme effekt som DNS-refleksjonsangrepet, som startes ved å bruke usikkerhetssårbarheten til UDP-protokollen og bruke åpne servere, men forskjellen er at NTP er mer truende, fordi hver datasenterserver trenger klokkesynkronisering og ikke kan beskyttes av filtreringsprotokoller og porter.

For å oppsummere er den største egenskapen ved refleksjonsangrep at de bruker ulike protokollsårbarheter for å forsterke angrepseffekten, men de er uatskillelige, så lenge de klemmer de «syv tommerne» i angrepet, kan de fundamentalt begrense angrepet. De «syv tommerne» i det reflekterte angrepet er dets trafikkanomalier. Dette krever at beskyttelsessystemet kan oppdage trafikkavvik i tide, og det er langt fra nok til å finne unormaliteter, og beskyttelsessystemet må ha nok ytelse til å motstå dette enkle og grove angrepet, du må vite at de nåværende angrepene ofte er 100G, hvis beskyttelsessystemet ikke har noen hundre G beskyttelseskapasitet, selv om det finnes, kan det bare stirre.