[Veiligheidskennis] Laten we het hebben over de grootste mysterieuze DDoS-aanval van 400G in de geschiedenis

Op 11 februari 2014 maakte CloudFlare bekend dat haar klanten te maken hadden met NTP op 400GOverstromingAanval, verversen de geschiedenisDDoSNaast het piekverkeer van de aanval hebben NTP Flood-aanvallen veel aandacht getrokken in de industrie. Sinds de hackergroep DERP een reflectie-aanval lanceerde met NTP, waren NTP-reflectie-aanvallen goed voor 69% van het DoS-aanvalverkeer in de eerste week van het nieuwe jaar 2014, en de gemiddelde omvang van de gehele NTP-aanval was ongeveer 7,3G bps per seconde, wat drie keer hoger was dan het gemiddelde aanvalverkeer dat in december 2013 werd waargenomen.

Laten we hieronder naar NTP kijkenserverprincipe.

NTP (netwerktijdprotocol) is een standaard netwerktijdsynchronisatieprotocol dat een hiërarchisch tijdverdelingsmodel hanteert. De netwerkarchitectuur omvat voornamelijk master time servers, slave time servers en clients. De hoofd-tijdserver bevindt zich bij de wortelknoop en is verantwoordelijk voor het synchroniseren met hoogprecisie-tijdbronnen om tijddiensten aan andere knooppunten te leveren. Elke client wordt gesynchroniseerd door de tijdserver van de tijdserver tot de primaire server.

Neem bijvoorbeeld een groot enterprise-netwerk: de onderneming bouwt haar eigen tijdserver, die verantwoordelijk is voor het synchroniseren van de tijd vanaf de master time server, en vervolgens verantwoordelijk is voor het synchroniseren van de tijd met de bedrijfssystemen van het bedrijf. Om ervoor te zorgen dat de tijdssynchronisatievertraging klein is, heeft elk land een groot aantal tijdservers gebouwd die per regio als hoofdtijdserver dienen om te voldoen aan de tijdssynchronisatievereisten van verschillende internetbedrijfssystemen.

Met de snelle ontwikkeling van netwerkinformatisatie zijn alle sectoren van de bevolking, waaronder financiën, telecommunicatie, industrie, spoorwegvervoer, luchtvervoer en andere sectoren, steeds meer afhankelijk van Ethernet-technologie. Allerlei dingenToepassing:Het systeem bestaat uit verschillende servers, zoals elektronenZakelijkEen website bestaat uit een webserver, een authenticatieserver en een databaseserver, en om een webapplicatie goed te laten functioneren is het noodzakelijk om ervoor te zorgen dat de klok tussen de webserver, authenticatieserver en databaseserver in realtime gesynchroniseerd is. Bijvoorbeeld gedistribueerde cloud computing-systemen, realtime back-upsystemen, factureringssystemen, netwerkbeveiligingsauthenticatiesystemen en zelfs basisnetwerkbeheer zijn allemaal afhankelijk van nauwkeurige tijdsynchronisatie.

Waarom is de mysterieuze NTP Flood zo populair bij hackers?

NTP is een server/client-model gebaseerd op het UDP-protocol, dat een natuurlijke onbeveiligingsfout heeft vanwege de niet-verbonden aard van het UDP-protocol (in tegenstelling tot TCP, dat een driewegs handshake-proces heeft). Hackers maakten officieel gebruik van de onbeveiligingskwetsbaarheid van NTP-servers om DDoS-aanvallen uit te voeren. In slechts 2 stappen kun je gemakkelijk het aanvalseffect van vier of twee jacks bereiken.

Stap 1: Vind het doelwit, inclusief het aanvalsdoel en de NTP-serverbronnen op het netwerk.

Stap 2: Het vervalsen van het IP-adres van het "aanvalsdoel" om een verzoek tot kloksynchronisatie naar de NTP-server te sturen; om de intensiteit van de aanval te verhogen, is het verzonden verzoekpakket een Monlist-verzoekpakket, dat krachtiger is. Het NTP-protocol bevat een monlist-functie die de NTP-server monitort, die reageert op het monlist-commando en de IP-adressen teruggeeft van de laatste 600 clients die ermee zijn gesynchroniseerd. De responspakketten worden verdeeld over elke 6 IP's, en er worden tot 100 responspakketten gevormd voor een NTP-monlistverzoek, dat sterke versterkingsmogelijkheden heeft. De labsimulatietest toont aan dat wanneer de grootte van het verzoekpakket 234 bytes is, elk responspakket 482 bytes is, en op basis van deze gegevens wordt het versterkingsveelvoud berekend: 482*100/234 = 206 keer!

Wauw haha~~~ Het aanvalseffect is duidelijk, en het aangevallen doelwit zal binnenkort een denial of service krijgen, en zelfs het hele netwerk zal overbelast raken.

Sinds de hackergroep DERP het effect van NTP-reflectieaanvallen ontdekte, heeft het NTP-reflectieaanvallen gebruikt in een reeks DDoS-aanvallen op grote gamebedrijven, waaronder EA en Blizzard, eind december 2013. Het lijkt erop dat de mysterieuze NTP-reflectie-aanval eigenlijk niet mysterieus is, en dat deze hetzelfde effect heeft als de DNS-reflectie-aanval, die wordt gestart door gebruik te maken van de insecurity-kwetsbaarheid van het UDP-protocol en open servers, maar het verschil is dat NTP bedreigender is, omdat elke datacenterserver kloksynchronisatie nodig heeft en niet beschermd kan worden door filterprotocollen en poorten.

Samengevat is het grootste kenmerk van reflectieve aanvallen dat ze verschillende protocolkwetsbaarheden gebruiken om het aanvalseffect te versterken, maar ze zijn onlosmakelijk; zolang ze de "zeven inches" van de aanval beperken, kunnen ze de aanval fundamenteel indammen. De "zeven inches" van de gereflecteerde aanval zijn de verkeersanomalieën. Dit vereist dat het beveiligingssysteem verkeersanomalieën op tijd kan detecteren, en het is verre van voldoende om afwijkingen te vinden, en het beveiligingssysteem moet voldoende prestaties hebben om deze eenvoudige en ruwe aanval te weerstaan; je moet weten dat de huidige aanvallen vaak 100G zijn; als het beveiligingssysteem niet over een paar honderd G beschikt, zelfs als het wordt gevonden, kan het alleen maar staren.