|
Pe 11 februarie 2014, CloudFlare a dezvăluit că clienții săi sufereau de NTP la 400GInundațieAtac, reîmprospătare istoricDDoSPe lângă vârful de trafic al atacului, atacurile NTP Flood au atras multă atenție în industrie. De fapt, de când grupul de hackeri DERP a lansat un atac de reflexie folosind NTP, atacurile de reflexie NTP au reprezentat 69% din traficul de atac DoS în prima săptămână a noului an 2014, iar dimensiunea medie a întregului atac NTP a fost de aproximativ 7,3G bps pe secundă, de trei ori mai mare decât traficul mediu de atac observat în decembrie 2013.
Să analizăm NTP mai josServerPrincipiu. NTP (network time protocol) este un protocol standard de sincronizare a timpului în rețea care adoptă un model ierarhic de distribuție a timpului. Arhitectura rețelei include în principal servere master time, servere slave time și clienți. Serverul principal de timp este situat la nodul rădăcină și este responsabil pentru sincronizarea cu sursele de timp de înaltă precizie pentru a furniza servicii de timp altor noduri. Fiecare client este sincronizat de serverul de timp de la serverul de timp până la serverul principal. Luând ca exemplu o rețea mare de întreprindere, întreprinderea își construiește propriul server de timp, care este responsabil de sincronizarea timpului cu serverul principal de timp, iar apoi este responsabilă de sincronizarea timpului cu sistemele de afaceri ale întreprinderii. Pentru a asigura că întârzierea sincronizării timpului este mică, fiecare țară a construit un număr mare de servere de timp în funcție de regiune, ca server principal de timp, pentru a satisface cerințele de sincronizare a timpului ale diferitelor sisteme de afaceri pe Internet. Odată cu dezvoltarea rapidă a informatizării rețelelor, toate domeniile vieții, inclusiv finanțe, telecomunicații, industrie, transport feroviar, transport aerian și alte industrii, depind tot mai mult de tehnologia Ethernet. Tot felul de lucruriAplicație:Sistemul este format din servere diferite, cum ar fi electroniiAfaceriUn site web este format dintr-un server web, un server de autentificare și un server de baze de date, iar pentru ca o aplicație web să funcționeze corect, este necesar să se asigure că ceasul dintre serverul web, serverul de autentificare și serverul de bază de date este sincronizat în timp real. De exemplu, sistemele de cloud computing distribuite, sistemele de backup în timp real, sistemele de facturare, sistemele de autentificare a securității rețelei și chiar managementul de bază al rețelei se bazează pe sincronizarea precisă a timpului. De ce este misteriosul NTP Flood atât de popular printre hackeri? NTP este un model server/client bazat pe protocolul UDP, care are o vulnerabilitate naturală de insecuritate din cauza naturii neconectate a protocolului UDP (spre deosebire de TCP, care are un proces de strângere de mână în trei direcții). Hackerii au exploatat oficial vulnerabilitatea de insecuritate a serverelor NTP pentru a lansa atacuri DDoS. În doar 2 pași, poți obține cu ușurință efectul de atac al patru sau două valete. Pasul 1: Găsește ținta, inclusiv ținta de atac și resursele serverului NTP din rețea. Pasul 2: Falsificarea adresei IP a "țintei atacului" pentru a trimite un pachet de cerere de sincronizare a ceasului către serverul NTP, pentru a crește intensitatea atacului, pachetul de cerere trimis este un pachet de cerere Monlist, care este mai puternic. Protocolul NTP include o funcție monlist care monitorizează serverul NTP, care răspunde la comanda monlist și returnează adresele IP ale ultimilor 600 de clienți sincronizați cu acesta. Pachetele de răspuns sunt împărțite la fiecare 6 IP-uri, iar până la 100 de pachete de răspuns vor fi formate pentru o cerere monlistă NTP, care are capacități puternice de amplificare. Testul de simulare de laborator arată că atunci când dimensiunea pachetului de cerere este de 234 octeți, fiecare pachet de răspuns are 482 octeți, iar pe baza acestor date, multiplul de amplificare este calculat: 482*100/234 = 206 ori! Wow haha~~~ Efectul atacului este evident, iar ținta atacată va avea curând un sistem de tip denial of service, iar chiar și întreaga rețea va fi aglomerată. De când grupul de hackeri DERP a descoperit efectul atacurilor de reflexie NTP, a folosit atacuri de reflexie NTP într-o serie de atacuri DDoS împotriva marilor companii de jocuri, inclusiv EA și Blizzard, la sfârșitul lunii decembrie 2013. Se pare că atacul misterios de reflexie NTP nu este de fapt misterios și are același efect ca atacul de reflexie DNS, care este lansat folosind vulnerabilitatea de insecuritate a protocolului UDP și serverele deschise, dar diferența este că NTP este mai amenințător, deoarece fiecare server de centru de date are nevoie de sincronizare a ceasului și nu poate fi protejat prin protocoale și porturi de filtrare. În concluzie, cea mai mare caracteristică a atacurilor reflective este că folosesc diverse vulnerabilități ale protocolului pentru a amplifica efectul atacului, dar sunt inseparabile, atâta timp cât prind "cei șapte inci" ai atacului, pot controla fundamental atacul. "Cei șapte inci" ai atacului reflectat sunt anomaliile sale de trafic. Acest lucru necesită ca sistemul de protecție să poată detecta anomaliile de trafic la timp, și este departe de a fi suficient pentru a identifica anomalii, iar sistemul trebuie să aibă performanțe suficiente pentru a rezista acestui atac simplu și dur; trebuie să știi că atacurile actuale sunt adesea de 100G, dacă sistemul de protecție nu are câteva sute de capacități de protecție G, chiar dacă este găsit, poate doar să privească fix.
| 
Postat pe 01.12.2014 14:41:44
|
|
|
|
