|
11 lutego 2014 roku CloudFlare ujawnił, że jego klienci cierpią na NTP przy 400GPowódźAtakuj, odśwież historięDDoSOprócz szczytowego ruchu po ataku, ataki NTP Flood przyciągnęły dużą uwagę branży. W rzeczywistości, od czasu przeprowadzenia ataku odbicia przez grupę hakerską DERP z wykorzystaniem NTP, ataki odbicia NTP stanowiły 69% ruchu ataków DoS w pierwszym tygodniu nowego roku 2014, a średni rozmiar całego ataku NTP wynosił około 7,3G bps na sekundę, co było trzykrotnie wyższe niż średni ruch ataków odnotowany w grudniu 2013 roku.
Przyjrzyjmy się poniżej NTPserwerzasada. NTP (network time protocol) to standardowy protokół synchronizacji czasu sieciowego, który stosuje hierarchiczny model rozkładu czasu. Architektura sieci obejmuje głównie serwery czasu głównego, serwery czasu niewolnego oraz klientów. Główny serwer czasu znajduje się w węźle głównym i odpowiada za synchronizację z wysokoprecyzyjnymi źródłami czasu, aby świadczyć usługi czasowe innym węzłom. Każdy klient jest synchronizowany przez serwer czasu od serwera czasu do serwera głównego. Weźmy na przykład dużą sieć przedsiębiorstwa, gdzie przedsiębiorstwo buduje własny serwer czasu, który odpowiada za synchronizację czasu z głównym serwerem czasu, a następnie za synchronizację czasu z systemami biznesowymi przedsiębiorstwa. Aby zapewnić niewielkie opóźnienie synchronizacji czasu, każdy kraj zbudował dużą liczbę serwerów czasu według regionu jako główny serwer czasowy, aby sprostać wymaganiom synchronizacji czasu różnych systemów biznesowych w Internecie. Wraz z szybkim rozwojem informatyzacji sieci, wszystkie dziedziny życia, w tym finanse, telekomunikacja, przemysł, transport kolejowy, transport lotniczy i inne branże, coraz bardziej polegają na technologii Ethernet. Różne rzeczyZastosowanie:System składa się z różnych serwerów, takich jak elektronyBiznesStrona internetowa składa się z serwera WWW, serwera uwierzytelniania oraz serwera bazy danych, a aby aplikacja webowa działała prawidłowo, konieczne jest zapewnienie synchronizacji zegara między serwerem WWW, serwerem uwierzytelniania i serwerem bazy danych w czasie rzeczywistym. Na przykład rozproszone systemy chmury obliczeniowej, systemy kopii zapasowych w czasie rzeczywistym, systemy rozliczeniowe, systemy uwierzytelniania bezpieczeństwa sieci, a nawet podstawowe zarządzanie siecią opierają się na dokładnej synchronizacji czasowej. Dlaczego tajemniczy NTP Flood jest tak popularny wśród hakerów? NTP to model serwer/klient oparty na protokole UDP, który ma naturalną lukę niebezpieczeństwa wynikającą z niepołączonego charakteru protokołu UDP (w przeciwieństwie do TCP, który posiada trójstronny proces handshake). Hakerzy oficjalnie wykorzystali lukę w zabezpieczeniach serwerów NTP, aby rozpocząć ataki DDoS. W zaledwie dwóch krokach możesz łatwo osiągnąć efekt ataku czterech lub dwóch jacków. Krok 1: Znajdź cel, w tym cel ataku oraz zasoby serwera NTP w sieci. Krok 2: Sfałszowanie adresu IP "celu ataku" w celu wysłania pakietu synchronizacji zegara żądań do serwera NTP, aby zwiększyć intensywność ataku, wysyłany pakiet żądania to pakiet żądania Monlist, który jest potężniejszy. Protokół NTP zawiera funkcję monlist, która monitoruje serwer NTP, reaguje na polecenie monlist i zwraca adresy IP ostatnich 600 klientów zsynchronizowanych z nim. Pakiety odpowiedzi są dzielone na każde 6 adresów IP, a dla żądania NTP monlist może zostać utworzonych do 100 pakietów odpowiedzi, które mają silne możliwości wzmacniania. Test symulacji laboratoryjnej pokazuje, że gdy rozmiar pakietu żądania wynosi 234 bajty, każdy pakiet odpowiedzi ma 482 bajty, a na podstawie tych danych oblicza się mnożnik amplifikacji: 482*100/234 = 206 razy! Wow haha~~~ Efekt ataku jest oczywisty, a zaatakowany cel wkrótce otrzyma odmowę połączenia, a nawet cała sieć będzie przeciążona. Od czasu, gdy grupa hakerska DERP odkryła efekt ataków odbicia NTP, zastosowała ataki odbicia NTP w serii ataków DDoS przeciwko głównym firmom grańskim, w tym EA i Blizzardowi, pod koniec grudnia 2013 roku. Wydaje się, że tajemniczy atak odbicia NTP wcale nie jest tajemniczy i ma taki sam efekt jak atak odbicia DNS, który jest uruchamiany przez wykorzystując lukę bezpieczeństwa protokołu UDP i korzystając z otwartych serwerów, ale różnica polega na tym, że NTP jest bardziej groźne, ponieważ każdy serwer centrum danych wymaga synchronizacji zegara i nie może być chroniony protokołami filtrującymi i portami. Podsumowując, największą cechą ataków refleksyjnych jest wykorzystanie różnych luk protokołu, aby wzmocnić efekt ataku, ale są nierozłączne, dopóki kontrolują "siedem cali" ataku, mogą zasadniczo powstrzymać atak. "Siedem cali" odbitego ataku to jego anomalie komunikacyjne. Wymaga to, aby system ochrony był w stanie wykryć anomalie drogowe na czas, a wykrywanie nieprawidłowości jest dalekie od wykrycia, a system ochrony musi mieć wystarczającą wydajność, by oprzeć się temu prostemu i brutalnemu atakowi; musisz wiedzieć, że obecne ataki często mają 100G, jeśli system ochrony nie ma kilkuset G zabezpieczeń, nawet jeśli zostanie wykryty, może tylko obserwować.
| 
Opublikowano 01.12.2014 14:41:44
|
|
|
|
