|
Den 11 februari 2014 avslöjade CloudFlare att deras kunder led av NTP på 400GÖversvämningAttackera, uppdatera historikenDDoSUtöver attackens topptrafik har NTP Flood-attacker väckt stor uppmärksamhet inom branschen. Faktum är att sedan hackergruppen DERP lanserade en reflektionsattack med NTP, stod NTP-reflektionsattacker för 69 % av DoS-attacktrafiken under första veckan av det nya året 2014, och den genomsnittliga storleken på hela NTP-attacken var cirka 7,3 G bps per sekund, vilket var tre gånger högre än den genomsnittliga attacktrafiken som observerades i december 2013.
Låt oss titta på NTP nedanserverprincip. NTP (nätverkstidsprotokoll) är ett standardiserat nätverkstidssynkroniseringsprotokoll som använder en hierarkisk tidsfördelningsmodell. Nätverksarkitekturen inkluderar främst master-tidsservrar, slav-tidsservrar och klienter. Huvudtidsservern är placerad vid rotnoden och ansvarar för att synkronisera med högprecisionstidskällor för att tillhandahålla tidstjänster till andra noder. Varje klient synkroniseras av tidsservern från tidsservern till primärservern. Ta ett stort företagsnätverk som exempel, företaget bygger sin egen tidsserver, som ansvarar för att synkronisera tiden från huvudtidsservern och sedan för att synkronisera tiden till företagets affärssystem. För att säkerställa att tidssynkroniseringsfördröjningen är liten har varje land byggt ett stort antal tidsservrar beroende på regionen som huvudsaklig tidsserver för att möta tidssynkroniseringskraven för olika internetaffärssystem. Med den snabba utvecklingen av nätverksinformatisering blir alla samhällsskikt, inklusive finans, telekommunikation, industri, järnvägstransporter, flygtransporter och andra branscher, alltmer beroende av Ethernet-teknik. Alla möjliga sakerTillämpning:Systemet består av olika servrar, såsom elektronerAffärerEn webbplats består av en webbserver, en autentiseringsserver och en databasserver, och för att en webbapplikation ska fungera korrekt är det nödvändigt att säkerställa att klockan mellan webbservern, autentiseringsservern och databasservern synkroniseras i realtid. Till exempel är distribuerade molndatorsystem, realtidsbackupsystem, faktureringssystem, nätverkssäkerhetsautentiseringssystem och till och med grundläggande nätverkshantering alla beroende av noggrann tidssynkronisering. Varför är den mystiska NTP Flood så populär bland hackare? NTP är en server/klient-modell baserad på UDP-protokollet, som har en naturlig osäkerhetsbrist på grund av UDP-protokollets oanslutna natur (till skillnad från TCP, som har en trevägs handskakningsprocess). Hackare utnyttjade officiellt NTP-servrarnas osäkerhetssårbarhet för att genomföra DDoS-attacker. På bara två steg kan du enkelt uppnå attackeffekten av fyra eller två knektar. Steg 1: Hitta målet, inklusive attackmålet och NTP-serverresurserna på nätverket. Steg 2: Förfalska IP-adressen till "attackmålet" för att skicka ett förfrågningsklocksynkroniseringspaket till NTP-servern, för att öka attackintensiteten, är det skickade förfrågningspaketet ett Monlist-begäran, vilket är kraftfullare. NTP-protokollet inkluderar en monlist-funktion som övervakar NTP-servern, som svarar på monlist-kommandot och returnerar IP-adresserna till de senaste 600 klienterna som har synkroniserats med den. Svarspaketen delas upp efter var sjätte IP, och upp till 100 svarspaket bildas för en NTP-monlistförfrågan, som har starka förstärkningsmöjligheter. Labbsimuleringstestet visar att när storleken på begäranarpaketet är 234 byte, är varje svarspaket 482 byte, och baserat på dessa data beräknas förstärkningsmultipeln: 482*100/234 = 206 gånger! Wow haha~~~ Attackeffekten är uppenbar, och det attackerade målet kommer snart att få en överbelastning, och till och med hela nätverket kommer att vara överbelastat. Sedan hackergruppen DERP upptäckte effekten av NTP-reflektionsattacker har de använt NTP-reflektionsattacker i en serie DDoS-attacker mot stora spelföretag, inklusive EA och Blizzard, i slutet av december 2013. Det verkar som att den mystiska NTP-reflektionsattacken faktiskt inte är mystisk, och den har samma effekt som DNS-reflektionsattacken, som startas genom att använda osäkerhetssårbarheten i UDP-protokollet och använda öppna servrar, men skillnaden är att NTP är mer hotfull eftersom varje datacenterserver behöver klocksynkronisering och inte kan skyddas av filtreringsprotokoll och portar. Sammanfattningsvis är den största egenskapen hos reflektiva attacker att de använder olika protokollsårbarheter för att förstärka attackeffekten, men de är oskiljaktiga; så länge de nyper "sju tum" i attacken kan de i grunden begränsa attacken. De "sju tum" i den reflekterade attacken är dess trafikanomalier. Detta kräver att skyddssystemet kan upptäcka trafikavvikelser i tid, och det räcker långt ifrån för att hitta avvikelser, och skyddssystemet måste ha tillräcklig prestanda för att motstå denna enkla och hårda attack, du måste veta att de aktuella attackerna ofta är 100G, om skyddssystemet inte har några hundra G skyddsfunktioner, även om det hittas, kan det bara stirra.
| 
Publicerad på 2014-12-01 14:41:44
|
|
|
|
