[Güvenlik bilgisi] Tarihteki en büyük 400G gizemli DDoS saldırısından bahsedelim

11 Şubat 2014'te CloudFlare, müşterilerinin 400G'de NTP'den muzdarip olduğunu açıkladıSelSaldırı, tarihi yenileDDoSSaldırının zirve trafiğine ek olarak, NTP Flood saldırıları sektörde büyük ilgi çekti. Aslında, hacker grubu DERP NTP kullanarak bir yansıtma saldırısı başlattığından beri, NTP yansıtma saldırıları 2014 yılının ilk haftasında DoS saldırı trafiğinin %69'unu oluşturdu ve tüm NTP saldırısının ortalama boyutu saniyede yaklaşık 7,3G bps idi; bu, Aralık 2013'te gözlemlenen ortalama saldırı trafiğinin üç katıydı.

Aşağıda NTP'ye bakalımsunucuilke.

NTP (ağ zaman protokolü), hiyerarşik bir zaman dağılımı modeli benimseyen standart bir ağ zaman senkronizasyon protokolüdür. Ağ mimarisi ağırlıklı olarak ana zaman sunucuları, köle zaman sunucuları ve istemcileri içerir. Ana zaman sunucusu kök düğümde bulunur ve diğer düğümlere zaman hizmetleri sağlamak için yüksek hassasiyetli zaman kaynaklarıyla senkronize olmaktan sorumludur. Her istemci, zaman sunucusundan ana sunucuya kadar zaman sunucusu tarafından senkronize edilir.

Örneğin büyük bir kurumsal ağı ele alarak, işletme ana zaman sunucusundan zamanı senkronize etmekten sorumlu olan kendi zaman sunucusunu kurar ve ardından zamanı işletmenin iş sistemleriyle senkronize etmekten sorumludur. Zaman senkronizasyon gecikmesinin küçük olmasını sağlamak için, her ülke çeşitli internet iş sistemlerinin zaman senkronizasyon gereksinimlerini karşılamak için ana zaman sunucusu olarak bölgeye göre çok sayıda zaman sunucusu inşa etmiştir.

Ağ enformatizasyonunun hızlı gelişimiyle birlikte, finans, telekomünikasyon, sanayi, demiryolu taşımacılığı, hava taşımacılığı ve diğer sektörler dahil olmak üzere tüm yaşam alanları giderek Ethernet teknolojisine bağımlı hale gelmektedir. Her türlü şeyUygulama:Sistem, elektronlar gibi farklı sunuculardan oluşurİş DünyasıBir web sitesi, bir web sunucusu, bir kimlik doğrulama sunucusu ve bir veritabanı sunucusundan oluşur ve bir web uygulamasının düzgün çalışabilmesi için, web sunucusu, kimlik doğrulama sunucusu ve veritabanı sunucusu arasındaki saatin gerçek zamanlı senkronize edilmesinden emin olmak gerekir. Örneğin, dağıtık bulut bilişim sistemleri, gerçek zamanlı yedekleme sistemleri, faturalama sistemleri, ağ güvenliği kimlik doğrulama sistemleri ve hatta temel ağ yönetimi hepsi doğru zaman senkronizasyonuna dayanır.

Gizemli NTP Flood neden hackerlar arasında bu kadar popüler?

NTP, UDP protokolüne dayalı bir sunucu/istemci modelidir ve UDP protokolünün bağlantısız doğası nedeniyle doğal bir güvensizlik kusuruna sahiptir (TCP'nin aksine, TCP ise üç el sıkışma sürecine sahiptir). Hackerlar, NTP sunucularındaki güvenlik zayıflığını resmen kullanarak DDoS saldırıları başlattı. Sadece 2 adımda, dört veya iki jack gibi saldırı etkisini kolayca elde edebilirsiniz.

Adım 1: Hedefi, saldırı hedefi ve ağdaki NTP sunucu kaynakları dahil olmak üzere bulun.

Adım 2: "Saldırı hedefi"nin IP adresini yapay olarak NTP sunucusuna istek saati senkronizasyon isteği paketi göndermek için, saldırı yoğunluğunu artırmak için, gönderilen istek paketi daha güçlü olan Monlist istek paketidir. NTP protokolü, NTP sunucusunu izleyen ve monlist komutuna yanıt veren ve onunla senkronize edilmiş son 600 istemcinin IP adreslerini döndüren bir monlist fonksiyonu içerir. Yanıt paketleri her 6 IP'ye göre bölünür ve güçlü güçlendirme yeteneklerine sahip bir NTP monlist talebi için 100'e kadar yanıt paketi oluşturulur. Laboratuvar simülasyon testi, istek paketinin boyutu 234 bayt olduğunda, her yanıt paketinin 482 bayt olduğunu ve bu verilere dayanarak amplifikasyon katlamasının hesaplandığını gösteriyor: 482*100/234 = 206 kat!

Vay canına~~~ Saldırı etkisi açık ve saldırı yapılan hedef yakında hizmet rededecek, hatta tüm ağ bile tıkanacak.

Hacker grubu DERP, NTP yansıma saldırılarının etkisini keşfettiğinden beri, Aralık 2013 sonunda EA ve Blizzard gibi büyük oyun şirketlerine karşı NTP yansıma saldırıları serisinde NTP yansıma saldırıları kullandı. Gizemli NTP yansıtma saldırısının aslında gizemli olmadığı ve UDP protokolünün güvenlik eksikliği kullanılarak ve açık sunucular kullanılarak başlatılan DNS yansıtma saldırısı ile aynı etkiyi yarattığı anlaşılıyor, ancak fark şu ki, NTP daha tehditkar çünkü her veri merkezi sunucusu saat senkronizasyonuna ihtiyaç duyar ve filtreleme protokolleri ile portlarla korunamaz.

Özetle, yansıtıcı saldırıların en büyük özelliği, saldırı etkisini artırmak için çeşitli protokol açıklıkları kullanmaları, ancak ayrılmazlar; saldırının "yedi inç"ini sıkıştırdıkları sürece saldırıyı temelde kontrol altına alabilirler. Yansıtılan saldırının "yedi inç" kısmı trafik anormallikleridir. Bu, koruma sisteminin trafik anormalliklerini zamanında tespit edebilmesini gerektirir ve anormallikleri bulmak için yeterli değildir; koruma sistemi bu basit ve sert saldırıya karşı yeterince performansa sahip olmalıdır, mevcut saldırıların genellikle 100G olduğunu bilmelisiniz; koruma sistemi birkaç yüz G koruma kapasitesine sahip değilse, bulunsa bile sadece bakabilir.