|
Dňa 11. februára 2014 CloudFlare oznámil, že jeho zákazníci trpia NTP pri 400GPovodeňÚtok, obnovenie histórieDDoSOkrem vrcholu návštevnosti útoku pritiahli útoky NTP Flood veľkú pozornosť v odvetví. V skutočnosti, odkedy hackerská skupina DERP spustila reflexný útok pomocou NTP, NTP reflexné útoky tvorili 69 % DoS útokovej prevádzky v prvom týždni nového roka 2014 a priemerná veľkosť celého NTP útoku bola približne 7,3 G bps za sekundu, čo bolo trikrát viac ako priemerná prevádzka útokov zaznamenaná v decembri 2013.
Pozrime sa nižšie na NTPServerprincíp. NTP (sieťový časový protokol) je štandardný protokol na synchronizáciu času v sieti, ktorý využíva hierarchický model rozdelenia času. Sieťová architektúra zahŕňa hlavne master time servery, slave time servery a klientov. Hlavný časový server sa nachádza na koreňovom uzle a je zodpovedný za synchronizáciu s vysoko presnými časovými zdrojmi, aby poskytoval časové služby iným uzlom. Každý klient je synchronizovaný časovým serverom od časového servera cez primárny server. Ako príklad veľkej podnikovej siete si podnik vytvára vlastný časový server, ktorý je zodpovedný za synchronizáciu času z hlavného časového servera a následne za synchronizáciu času s podnikovými systémami. Aby sa zabezpečilo, že oneskorenie synchronizácie času bude malé, každá krajina vybudovala veľké množstvo časových serverov podľa regiónu ako hlavný časový server na splnenie požiadaviek na synchronizáciu času rôznych systémov internetového biznisu. S rýchlym rozvojom informatizácie sietí sú všetky oblasti života, vrátane financií, telekomunikácií, priemyslu, železničnej dopravy, leteckej dopravy a ďalších odvetví, čoraz viac závislé od technológie Ethernet. Všelijaké veciPoužitie:Systém pozostáva z rôznych serverov, napríklad elektrónovPodnikanieWebová stránka pozostáva z webového servera, autentifikačného servera a databázového servera, a aby webová aplikácia správne fungovala, je potrebné zabezpečiť, aby hodiny medzi webovým serverom, autentifikačným serverom a databázovým serverom boli synchronizované v reálnom čase. Napríklad distribuované cloudové výpočtové systémy, systémy zálohovania v reálnom čase, fakturačné systémy, systémy na autentifikáciu sieťovej bezpečnosti a dokonca aj základné riadenie siete všetky závisia od presnej synchronizácie času. Prečo je záhadný NTP Flood taký populárny medzi hackermi? NTP je model server/klient založený na protokole UDP, ktorý má prirodzenú chybu v oblasti nebezpečnosti kvôli nepripojenej povahe protokolu UDP (na rozdiel od TCP, ktorý má trojcestný handshake). Hackeri oficiálne využili zraniteľnosť NTP serverov na spustenie DDoS útokov. Za dva kroky môžete ľahko dosiahnuť útokový efekt štyroch alebo dvoch jackov. Krok 1: Nájdite cieľ, vrátane cieľa útoku a zdrojov NTP servera v sieti. Krok 2: Vytvorením IP adresy "cieľa útoku" na odoslanie paketu synchronizácie hodiny požiadaviek na NTP server, aby sa zvýšila intenzita útoku, je odoslaný paket požiadavky Monlist, ktorý je výkonnejší. Protokol NTP obsahuje funkciu monlist, ktorá monitoruje NTP server, reaguje na príkaz monlist a vracia IP adresy posledných 600 klientov, ktoré s ním boli synchronizované. Odpovedné pakety sa rozdeľujú podľa každých 6 IP a pre NTP monlist požiadavku sa vytvorí až 100 odpovedných paketov, ktoré majú silné amplifikačné schopnosti. Laboratórny simulačný test ukazuje, že keď je veľkosť paketu požiadavky 234 bajtov, každý paket odpovede má 482 bajtov, a na základe týchto údajov sa vypočíta násobok zosilnenia: 482*100/234 = 206-krát! Wow haha~~~ Efekt útoku je zrejmý a napadnutý cieľ čoskoro bude mať odmietnutie služby a dokonca aj celá sieť bude preťažená. Odkedy hackerská skupina DERP objavila účinok NTP reflexných útokov, použila NTP reflexné útoky v sérii DDoS útokov proti veľkým herným spoločnostiam vrátane EA a Blizzard na konci decembra 2013. Zdá sa, že záhadný NTP reflexný útok v skutočnosti nie je záhadný a má rovnaký efekt ako DNS reflexný útok, ktorý sa spúšťa využitím nebezpečnej zraniteľnosti protokolu UDP a otvorenými servermi, ale rozdiel je v tom, že NTP je hrozivejší, pretože každý server dátového centra potrebuje synchronizáciu hodín a nemôže byť chránený filtračnými protokolmi a portmi. Na záver, najväčšou vlastnosťou reflexívnych útokov je, že využívajú rôzne zraniteľnosti protokolov na zosilnenie efektu útoku, ale sú neoddeliteľné, pokiaľ zachytia "sedem palcov" útoku, dokážu útok zásadne zadržať. "Sedem palcov" odrazeného útoku sú jeho dopravné anomálie. To vyžaduje, aby ochranný systém dokázal včas odhaliť dopravné anomálie, a to vôbec nestačí na zistenie abnormalít, a ochranný systém musí mať dostatočný výkon, aby odolal tomuto jednoduchému a drsnému útoku, musíte vedieť, že aktuálne útoky sú často 100G, ak ochranný systém nemá niekoľko stoviek G ochranných schopností, aj keď sa nájdu, môže len zízať.
| 
Zverejnené 1. 12. 2014 14:41:44
|
|
|
|
