|
11 лютого 2014 року CloudFlare повідомила, що її клієнти страждають від NTP на 400GПовіньАтакуй, оновлюй історіюDDoSОкрім пікового трафіку атаки, атаки NTP Flood привернули значну увагу в галузі. Насправді, оскільки хакерська група DERP розпочала атаку відображення з використанням NTP, атаки на відбиття NTP становили 69% трафіку DoS-атак у перший тиждень нового 2014 року, а середній розмір всієї атаки NTP становив близько 7,3 G bps за секунду, що втричі перевищує середній трафік атак, спостеріганий у грудні 2013 року.
Давайте розглянемо NTP нижчеСерверпринцип. NTP (мережевий протокол часу) — це стандартний протокол синхронізації часу мережі, який використовує ієрархічну модель розподілу часу. Архітектура мережі переважно включає майстер-сервери часу, підлеглі сервери часу та клієнтів. Головний часовий сервер розташований у кореневому вузлі і відповідає за синхронізацію з високоточними джерелами часу для надання часових сервісів іншим вузлам. Кожен клієнт синхронізується сервером часу від сервера часу до основного сервера. Візьмемо, наприклад, велику корпоративну мережу, підприємство створює власний сервер часу, який відповідає за синхронізацію часу з головного сервера часу, а потім відповідає за синхронізацію часу з бізнес-системами підприємства. Щоб забезпечити мінімальну затримку синхронізації часу, кожна країна побудувала велику кількість серверів часу відповідно до регіону як основних серверів часу, щоб відповідати вимогам синхронізації часу різних інтернет-бізнес-систем. Зі стрімким розвитком інформатизації мереж усі сфери життя, включаючи фінанси, телекомунікації, промисловість, залізничні перевезення, авіаперевезення та інші галузі, дедалі більше залежать від технології Ethernet. Всілякі речіЗастосування:Система складається з різних серверів, таких як електрониБізнесВебсайт складається з веб-сервера, сервера автентифікації та сервера бази даних, і для правильної роботи веб-додатка необхідно забезпечити синхронізацію тактового часу між веб-сервером, сервером автентифікації та сервером бази даних у реальному часі. Наприклад, розподілені хмарні обчислювальні системи, системи резервного копіювання в реальному часі, системи виставлення рахунків, системи автентифікації мережевої безпеки та навіть базове управління мережею — усі вони залежать від точної синхронізації часу. Чому загадковий NTP Flood так популярний серед хакерів? NTP — це модель сервер/клієнт, заснована на протоколі UDP, яка має природну проблему небезпеки через відсутність зв'язку протоколу UDP (на відміну від TCP, який має тристоронній процес рукостискання). Хакери офіційно скористалися вразливістю небезпеки серверів NTP для запуску DDoS-атак. Всього за 2 кроки можна легко досягти ефекту атаки чотирьох-двох роз'ємів. Крок 1: Знайдіть ціль, включаючи ціль атаки та ресурси NTP-сервера в мережі. Крок 2: Підробка IP-адреси «цілі атаки» для надсилання пакета запиту на синхронізацію тактового сигналу на сервер NTP, щоб підвищити інтенсивність атаки, надсилається пакет запиту Monlist, який є потужнішим. Протокол NTP включає функцію monlist, яка моніторить сервер NTP, що реагує на команду monlist і повертає IP-адреси останніх 600 клієнтів, синхронізованих із ним. Пакети відповіді поділяються на кожні 6 IP, і для NTP-монліст-запиту формується до 100 пакетів відповіді, який має потужні можливості підсилення. Лабораторний тест симуляції показує, що коли розмір пакета запиту становить 234 байти, кожен пакет відповіді становить 482 байти, і на основі цих даних розраховується множник підсилення: 482*100/234 = 206 разів! Вау, ха-ха~~~ Ефект атаки очевидний, і атакована ціль незабаром отримає відмову в обслуговуванні, і навіть вся мережа буде перевантажена. Відтоді, як хакерська група DERP виявила ефекти атак відбиття NTP, вона почала використовувати атаки NTP reflection у серії DDoS-атак проти великих ігрових компаній, зокрема EA та Blizzard, наприкінці грудня 2013 року. Схоже, що загадкова атака відбиття NTP насправді не є загадковою і має той самий ефект, що й DNS-відбиття, яка запускається через використання незахищеної вразливості протоколу UDP і відкритих серверів, але різниця в тому, що NTP є більш загрозливим, оскільки кожен сервер дата-центру потребує синхронізації тактового сигналу і не може бути захищений протоколами фільтрації та портами. Підсумовуючи, найбільша особливість відбивних атак полягає в тому, що вони використовують різні вразливості протоколу для посилення ефекту атаки, але вони нероздільні — якщо вони стискають «сім дюймів» атаки, вони можуть фактично стримати атаку. «Сім дюймів» відбитої атаки — це її аномалії в транспорті. Це вимагає, щоб система захисту могла вчасно виявляти аномалії в трафіку, і цього далеко не достатньо, щоб виявити аномалії, і система захисту повинна мати достатню продуктивність, щоб протистояти цій простій і грубій атаці. Ви повинні знати, що поточні атаки часто мають 100G, якщо система захисту не має кількасот можливостей захисту на кілька сотень G, навіть якщо її знайдено, вона може лише дивитися.
| 
Опубліковано 01.12.2014 14:41:44
|
|
|
|
