[Conhecimento de Segurança] Vamos falar sobre o maior ataque DDoS misterioso de 400G da história

Em 11 de fevereiro de 2014, a CloudFlare revelou que seus clientes estavam sofrendo com NTP em 400GEnchenteAtaque e histórico de atualizaçãoDDoSAlém do pico de tráfego do ataque, os ataques NTP Flood atraíram muita atenção na indústria. De fato, desde que o grupo hacker DERP lançou um ataque por reflexão usando NTP, os ataques de reflexão NTP representaram 69% do tráfego de ataques DoS na primeira semana do novo ano de 2014, e o tamanho médio de todo o ataque NTP foi de cerca de 7,3G bps por segundo, três vezes maior que o tráfego médio de ataque observado em dezembro de 2013.

Vamos analisar o NTP abaixoServidorPrincípio.

NTP (protocolo de tempo de rede) é um protocolo padrão de sincronização de tempo de rede que adota um modelo hierárquico de distribuição de tempo. A arquitetura de rede inclui principalmente servidores de tempo mestre, servidores de tempo escravo e clientes. O servidor de tempo principal está localizado no nó raiz e é responsável por sincronizar com fontes de tempo de alta precisão para fornecer serviços de tempo a outros nós. Cada cliente é sincronizado pelo servidor de tempo do servidor de tempo até o servidor principal.

Tomando uma grande rede empresarial como exemplo, a empresa constrói seu próprio servidor de tempo, responsável por sincronizar o tempo do servidor mestre de tempo, e depois é responsável por sincronizar o tempo com os sistemas de negócios da empresa. Para garantir que o atraso de sincronização de tempo seja pequeno, cada país construiu um grande número de servidores de tempo de acordo com a região como servidor principal de tempo para atender aos requisitos de sincronização de tempo de vários sistemas de negócios da Internet.

Com o rápido desenvolvimento da informatização da rede, todos os setores da vida, incluindo finanças, telecomunicações, indústria, transporte ferroviário, transporte aéreo e outras, estão cada vez mais dependentes da tecnologia Ethernet. Todo tipo de coisaAplicação:O sistema consiste em diferentes servidores, como elétronsNegóciosUm site consiste em um servidor web, um servidor de autenticação e um servidor de banco de dados, e para que uma aplicação web funcione corretamente, é necessário garantir que o clock entre o servidor web, servidor de autenticação e servidor de banco de dados esteja sincronizado em tempo real. Por exemplo, sistemas distribuídos de computação em nuvem, sistemas de backup em tempo real, sistemas de faturamento, sistemas de autenticação de segurança de rede e até mesmo gerenciamento básico de rede dependem de sincronização de tempo precisa.

Por que o misterioso NTP Flood é tão popular entre hackers?

NTP é um modelo servidor/cliente baseado no protocolo UDP, que apresenta uma falha natural de insegurança devido à natureza não conectada do protocolo UDP (diferente do TCP, que possui um processo de handshake em três vias). Hackers exploraram oficialmente a vulnerabilidade de insegurança dos servidores NTP para lançar ataques DDoS. Em apenas 2 passos, você pode facilmente alcançar o efeito de ataque de quatro ou dois valetes.

Passo 1: Encontre o alvo, incluindo o alvo de ataque e os recursos do servidor NTP na rede.

Passo 2: Forjar o endereço IP do "alvo de ataque" para enviar um pacote de solicitação de sincronização de clock de requisição ao servidor NTP, para aumentar a intensidade do ataque, o pacote de solicitação enviado é um pacote de requisição Monlist, que é mais poderoso. O protocolo NTP inclui uma função monlist que monitora o servidor NTP, que responde ao comando monlist e retorna os endereços IP dos últimos 600 clientes que foram sincronizados com ele. Os pacotes de resposta são divididos a cada 6 IPs, e até 100 pacotes de resposta serão formados para uma solicitação monlista NTP, que possui fortes capacidades de amplificação. O teste de simulação em laboratório mostra que, quando o tamanho do pacote de requisição é 234 bytes, cada pacote de resposta é de 482 bytes, e com base nesses dados, o múltiplo de amplificação é calculado: 482*100/234 = 206 vezes!

Uau haha~~~ O efeito do ataque é óbvio, e o alvo atacado logo terá uma negação de serviço, e até mesmo toda a rede ficará congestionada.

Desde que o grupo hacker DERP descobriu o efeito dos ataques de reflexão NTP, ele tem usado ataques de reflexão NTP em uma série de ataques DDoS contra grandes empresas de jogos, incluindo EA e Blizzard, no final de dezembro de 2013. Parece que o misterioso ataque de reflexão NTP na verdade não é misterioso, e tem o mesmo efeito do ataque de reflexão DNS, que é lançado usando a vulnerabilidade de insegurança do protocolo UDP e servidores abertos, mas a diferença é que o NTP é mais ameaçador, porque cada servidor de data center precisa de sincronização de clock e não pode ser protegido por protocolos e portas de filtragem.

Resumindo, a maior característica dos ataques reflexivos é que eles usam várias vulnerabilidades de protocolo para amplificar o efeito do ataque, mas são inseparáveis; desde que prendam os "sete polegadas" do ataque, podem conter fundamentalmente o ataque. Os "sete polegadas" do ataque refletido são suas anomalias de tráfego. Isso exige que o sistema de proteção seja capaz de detectar anomalias de tráfego a tempo, e está longe de ser suficiente para encontrar anomalias, e o sistema de proteção deve ter desempenho suficiente para resistir a esse ataque simples e brusco, você deve saber que os ataques atuais geralmente são 100G, se o sistema de proteção não tiver algumas centenas de G, mesmo que seja encontrado, ele só pode encarar.