|
11. februarja 2014 je CloudFlare razkril, da njegovi uporabniki trpijo zaradi NTP pri 400GPoplavaNapad, osveži zgodovinoDDoSPoleg največjega prometa med napadom so napadi NTP Flood pritegnili veliko pozornosti v industriji. Pravzaprav so odkar je hekerska skupina DERP izvedla refleksivni napad z NTP, NTP refleksivni napadi predstavljali 69 % DoS napada v prvem tednu novega leta 2014, povprečna velikost celotnega NTP napada pa je bila približno 7,3 G bps na sekundo, kar je trikrat več od povprečnega napada, opaženega decembra 2013.
Poglejmo si NTP spodajstrežniknačelo. NTP (protokol omrežnega časa) je standardni protokol za sinhronizacijo omrežnega časa, ki uporablja hierarhični model porazdelitve časa. Omrežna arhitektura večinoma vključuje strežnike glavnega časa, strežnike podrejenega časa in odjemalce. Glavni časovni strežnik se nahaja na korenskem vozlišču in je odgovoren za sinhronizacijo z visokonatančnimi časovnimi viri za zagotavljanje časovnih storitev drugim vozliščem. Vsak odjemalec je sinhroniziran s časovnim strežnikom od časovnega strežnika do primarnega strežnika. Če vzamemo za primer veliko podjetniško omrežje, podjetje zgradi svoj časovni strežnik, ki je odgovoren za sinhronizacijo časa iz glavnega časovnega strežnika, nato pa za sinhronizacijo časa s poslovnimi sistemi podjetja. Da bi zagotovili majhno časovno sinhronizacijo zakasnitve, je vsaka država zgradila veliko število časovnih strežnikov glede na regijo kot glavni časovni strežnik za izpolnjevanje zahtev časovne sinhronizacije različnih internetnih poslovnih sistemov. Z hitrim razvojem informatizacije omrežij so vse družbene področije, vključno s financami, telekomunikacijami, industrijo, železniškim prometom, letalskim prometom in drugimi industrijami, vse bolj odvisne od Ethernet tehnologije. Vse mogoče stvariUporaba:Sistem sestavljajo različni strežniki, kot so elektroniPoslovanjeSpletna stran je sestavljena iz spletnega strežnika, avtentikacijskega strežnika in strežnika podatkovne baze, in za pravilno delovanje spletne aplikacije je potrebno zagotoviti, da je ura med spletnim strežnikom, avtentikacijskim strežnikom in podatkovnim strežnikom sinhronizirana v realnem času. Na primer, distribuirani računalniški sistemi v oblaku, sistemi za varnostno kopiranje v realnem času, obračunski sistemi, sistemi za varnostno avtentikacijo omrežja in celo osnovno upravljanje omrežja temeljijo na natančni časovni sinhronizaciji. Zakaj je skrivnostni NTP Flood tako priljubljen med hekerji? NTP je model strežnik/odjemalec, ki temelji na protokolu UDP, ki ima naravno pomanjkljivost zaradi nepovezane narave protokola UDP (za razliko od TCP, ki ima tristranski proces rokovanja). Hekerji so uradno izkoristili nevarnostno ranljivost NTP strežnikov za izvajanje DDoS napadov. V samo dveh korakih lahko enostavno dosežete napadalni učinek štirih ali dveh dvigal. Korak 1: Poiščite cilj, vključno z ciljem napada in NTP strežniškimi viri v omrežju. Korak 2: S ponarejanjem IP naslova "cilja napada" za pošiljanje paketa za sinhronizacijo ure zahtev NTP strežniku, da bi povečali intenzivnost napada, je poslani paket zahteve Monlistov paket zahteve, ki je zmogljivejši. NTP protokol vključuje funkcijo monlist, ki spremlja NTP strežnik, ki se odzove na ukaz monlist in vrne IP naslove zadnjih 600 odjemalcev, ki so bili sinhronizirani z njim. Paketi odgovorov so razdeljeni na vsakih 6 IP-jev, za NTP monlist zahtevo pa se oblikuje do 100 paketov odziva, ki ima močne možnosti ojačanja. Laboratorijski simulacijski test pokaže, da je velikost paketa zahteve 234 bajtov, vsak paket odziva pa 482 bajtov, na podlagi teh podatkov pa se izračuna večkratnik ojačanja: 482*100/234 = 206-krat! Vau haha~~~ Učinek napada je očiten, napadeni cilj bo kmalu doživel zavrnitev storitve, celo celotno omrežje bo preobremenjeno. Odkar je hekerska skupina DERP odkrila učinek NTP refleksijskih napadov, je uporabila NTP refleksne napade v seriji DDoS napadov na večja podjetja za igre, vključno z EA in Blizzardom, konec decembra 2013. Zdi se, da skrivnostni NTP refleksivni napad pravzaprav ni skrivnosten in ima enak učinek kot DNS refleksni napad, ki se sproži z uporabo nevarnostne ranljivosti protokola UDP in odprtimi strežniki, vendar je razlika v tem, da je NTP bolj grozeč, saj vsak strežnik podatkovnega centra potrebuje sinhronizacijo ure in ga ni mogoče zaščititi s filtrirnimi protokoli in vrati. Za povzetek, največja značilnost reflektivnih napadov je, da uporabljajo različne ranljivosti protokola za povečanje učinka napada, vendar so neločljivi, dokler zajezijo "sedem palcev" napada, lahko napad temeljito zadržijo. "Sedem palcev" odbitnega napada so njegove prometne anomalije. To zahteva, da zaščitni sistem pravočasno zazna prometne anomalije, kar pa ni dovolj za odkrivanje nepravilnosti, zaščitni sistem pa mora imeti dovolj zmogljivosti, da se upre temu preprostemu in grobemu napadu. Vedeti morate, da so trenutni napadi pogosto 100G; če zaščitni sistem nima nekaj sto G zaščitnih zmogljivosti, lahko tudi če ga najdejo, lahko le strmi.
| 
Objavljeno na 1. 12. 2014 14:41:44
|
|
|
|
