|
11 февраля 2014 года CloudFlare сообщила, что её клиенты страдают от NTP при 400GНаводнениеАтакуй, обновляй историюDDoSПомимо пикового трафика атаки, атаки NTP Flood привлекли большое внимание в отрасли. Фактически, с тех пор как хакерская группа DERP запустила рефлексивную атаку с использованием NTP, рефлексивные атаки NTP составили 69% трафика DoS-атак в первую неделю нового 2014 года, а средний размер всей атаки NTP составлял около 7,3 G bps в секунду, что в три раза выше среднего трафика атаки в декабре 2013 года.
Давайте рассмотрим NTP нижеСерверпринципа. NTP (протокол сетевого времени) — это стандартный протокол синхронизации сетевого времени, который использует иерархическую модель распределения времени. Архитектура сети в основном включает мастер-серверы времени, подведённые серверы времени и клиенты. Основной временной сервер расположен в корневом узле и отвечает за синхронизацию с высокоточными источниками времени для предоставления временных сервисов другим узлам. Каждый клиент синхронизируется временным сервером от сервера времени до первичного сервера. Возьмём в пример крупную корпоративную сеть, предприятие создаёт собственный сервер времени, который отвечает за синхронизацию времени с мастер-сервера, а затем за синхронизацию времени с бизнес-системами предприятия. Чтобы обеспечить минимальную задержку синхронизации времени, каждая страна построила большое количество серверов времени по региону в качестве основного сервера времени, чтобы удовлетворить требования по синхронизации времени различных интернет-бизнес-систем. С быстрым развитием сетевой информатизации все сферы жизни, включая финансы, телекоммуникации, промышленность, железнодорожные перевозки, воздушные перевозки и другие отрасли, всё больше зависят от технологий Ethernet. Всякие вещиПрименение:Система состоит из различных серверов, таких как электроныБизнесВеб-сайт состоит из веб-сервера, сервера аутентификации и сервера базы данных, и для корректной работы веб-приложения необходимо обеспечить синхронизацию часов между веб-сервером, сервером аутентификации и сервером базы данных в реальном времени. Например, распределённые облачные вычисления, системы резервного копирования в реальном времени, биллинговые системы, системы аутентификации сетевой безопасности и даже базовое управление сетью зависят от точной синхронизации времени. Почему загадочный NTP Flood так популярен среди хакеров? NTP — это модель сервер/клиент, основанная на протоколе UDP, которая имеет естественный недостаток безопасности из-за несвязанности протокола UDP (в отличие от TCP, где существует трёхсторонний процесс рукопожатия). Хакеры официально воспользовались уязвимостью небезопасности серверов NTP для запуска DDoS-атак. Всего за 2 шага можно легко добиться эффекта атаки четырьмя-двумя джеками. Шаг 1: Найдите цель, включая цель атаки и ресурсы сервера NTP в сети. Шаг 2: Подделка IP-адреса «цели атаки» для отправки пакета запроса на синхронизацию тактового сигнала на сервер NTP, чтобы увеличить интенсивность атаки, отправляемый пакет запроса — это Monlist-пакет, который более мощен. Протокол NTP включает функцию monlist, которая отслеживает сервер NTP, отвечает на команду monlist и возвращает IP-адреса последних 600 клиентов, синхронизированных с ним. Ответные пакеты делятся на каждые 6 IP, и для NTP-монлист-запроса формируется до 100 пакетов ответа, обладающего сильными возможностями усиления. Лабораторный симуляционный тест показывает, что при размере пакета запроса 234 байта, каждый ответный пакет составляет 482 байта, и на основе этих данных вычисляется мультиплификационный множитель: 482*100/234 = 206 раз! Вау, ха-ха~~~ Эффект атаки очевиден, и атакованный объект вскоре получит отказ в обслуживании, и даже вся сеть будет перегружена. С тех пор как хакерская группа DERP обнаружила эффект атак отражения NTP, она использовала атаки отражения NTP в серии DDoS-атак против крупных игровых компаний, включая EA и Blizzard, в конце декабря 2013 года. Похоже, что загадочная атака отражения NTP на самом деле не является загадочной и имеет тот же эффект, что и атака отражения DNS, которая запускается с использованием уязвимости UDP протокола и открытых серверов, но разница в том, что NTP более угрожает, потому что каждый сервер дата-центра требует синхронизации тактового сигнала и не может быть защищён фильтрующими протоколами и портами. В итоге, главная особенность отражающих атак — использование различных уязвимостей протокола для усиления эффекта атаки, но они неразделимы: если они зажимают «семь дюймов» атаки, они могут фундаментально сдержать атаку. «Семь дюймов» отражённой атаки — это её аномалии движения. Для этого система защиты должна вовремя обнаруживать аномалии в трафике, и этого далеко не достаточно, чтобы обнаружить аномалии, и система защиты должна обладать достаточной производительностью, чтобы противостоять такой простой и грубой атаке. Вы должны знать, что текущие атаки часто имеют 100G, если система защиты не обладает несколькими сотнями G, даже если она обнаружена, она может только смотреть.
| 
Опубликовано 01.12.2014 14:41:44
|
|
|
|
