Что такое атака усиления NTP?

Атака с усилением NTP — это объемная распределенная атака отказа в обслуживании (DDoS), основанная на отражении, в которой злоумышленник использует функциональность сервера Network Time Protocol (NTP), чтобы перегрузить целевую сеть или сервер увеличенным объемом UDP- трафика. , делая объект и окружающую его инфраструктуру недоступными для обычного трафика.

Как работает атака усиления NTP?
Все атаки с усилением используют разницу в стоимости полосы пропускания между злоумышленником и целевым веб-ресурсом. Когда разница в стоимости увеличивается по многим запросам, результирующий объем трафика может нарушить сетевую инфраструктуру. Отправляя небольшие запросы, которые приводят к большим откликам, злоумышленник может получить больше от меньшего. Если умножить это увеличение на то, чтобы каждый бот в ботнете отправлял похожие запросы, злоумышленник не может обнаружить и воспользоваться преимуществами значительного увеличения трафика атаки.

Атаки DNS-флуда отличаются от атак с усилением DNS . В отличие от DNS-наводнений, атаки с усилением DNS отражают и усиливают трафик с незащищенных DNS- серверов, чтобы скрыть источник атаки и повысить ее эффективность. Атаки с усилением DNS используют устройства с соединениями с меньшей пропускной способностью для выполнения многочисленных запросов к незащищенным DNS-серверам. Устройства делают много небольших запросов для очень больших записей DNS , но при выполнении запросов злоумышленник подделывает обратный адрес, чтобы он был адресом предполагаемой жертвы. Усиление позволяет атакующему поражать более крупные цели с ограниченными ресурсами атаки.

Усиление NTP, как и усиление DNS, можно представить в контексте злонамеренного подростка, звонящего в ресторан и говорящего: «У меня есть все, пожалуйста, перезвони мне и расскажи мне весь мой заказ». Когда ресторан запрашивает номер для обратного вызова, этот номер является номером телефона целевой жертвы. Затем цель получает звонок из ресторана с большим количеством информации, которую они не запрашивали.

Протокол сетевого времени предназначен для того, чтобы устройства, подключенные к Интернету, могли синхронизировать свои внутренние часы, и выполняет важную функцию в архитектуре Интернета. Используя команду monlist, включенную на некоторых серверах NTP, злоумышленник может увеличить свой начальный трафик запросов, что приведет к большому отклику. Эта команда включена по умолчанию на старых устройствах и отвечает 600 последними исходными IP-адресами запросов, отправленных серверу NTP. Запрос monlist от сервера с 600 адресами в его памяти будет в 206 раз больше, чем начальный запрос. Это означает, что злоумышленник с 1 ГБ интернет-трафика может провести атаку размером 200+ гигабайт, что значительно увеличит итоговый трафик атаки.

Атаку усиления NTP можно разбить на четыре этапа:
Злоумышленник использует ботнет для отправки UDP-пакетов с поддельными IP- адресами на NTP-сервер, на котором включена команда monlist. Поддельный IP-адрес в каждом пакете указывает на настоящий IP-адрес жертвы.
Каждый пакет UDP делает запрос к серверу NTP с помощью своей команды monlist, что приводит к большому отклику.
Затем сервер отвечает на поддельный адрес полученными данными.
IP-адрес цели получает ответ, и окружающая сетевая инфраструктура становится перегруженной потоком трафика, что приводит к отказу в обслуживании .
DDoS-атака с усилением NTP
В результате того, что трафик атаки выглядит как законный трафик, исходящий от действительных серверов, смягчение этого вида трафика атаки без блокировки реальных серверов NTP от законной активности является трудным. Поскольку для пакетов UDP не требуется квитирование, сервер NTP будет отправлять большие ответы на целевой сервер, не проверяя подлинность запроса. Эти факты в сочетании со встроенной командой, которая по умолчанию отправляет большой ответ, делают серверы NTP отличным источником отражения для атак с усилением DDoS.


Как смягчается атака с усилением NTP?
Для частного лица или компании, у которых есть веб-сайт или услуга, варианты смягчения последствий ограничены. Это происходит из-за того, что индивидуальный сервер, хотя и может быть целью, не является тем местом, где ощущается основной эффект объемной атаки. Из-за большого объема генерируемого трафика инфраструктура, окружающая сервер, ощущает воздействие. Провайдер интернет-услуг (ISP) или другие поставщики вышестоящей инфраструктуры могут быть не в состоянии обрабатывать входящий трафик, не будучи перегруженными. В результате интернет-провайдер может заблокировать весь трафик на IP-адрес целевой жертвы, защищая себя и отключая целевой сайт. Стратегии смягчения последствий, помимо внешних защитных сервисов, таких как защита от DDoS-атак Cloudflare, в основном являются превентивными решениями для инфраструктуры Интернета.

Отключить monlist — уменьшить количество NTP-серверов, поддерживающих команду monlist.
Простое решение для исправления уязвимости monlist — отключить команду. Все версии программного обеспечения NTP до версии 4.2.7 уязвимы по умолчанию. При обновлении сервера NTP до версии 4.2.7 или выше команда отключается, исправляя уязвимость. Если обновление невозможно, следование инструкциям US-CERT позволит администратору сервера внести необходимые изменения.

Проверка исходного IP-адреса — остановка поддельных пакетов, покидающих сеть.
Поскольку UDP-запросы, отправляемые ботнетом злоумышленника, должны иметь исходный IP-адрес, подделанный на IP-адрес жертвы, ключевым компонентом снижения эффективности атак с усилением на основе UDP является то, что интернет-провайдеры (ISP) должны отклонять любой внутренний трафик с помощью поддельные IP-адреса. Если пакет отправляется изнутри сети с адресом источника, из-за которого он выглядит так, как будто он был создан за пределами сети, вероятно, это поддельный пакет, и его можно отбросить. Cloudflare настоятельно рекомендует, чтобы все провайдеры внедрили входящую фильтрацию и время от времени обращались к интернет-провайдерам, которые неосознанно принимали участие в DDoS-атаках (в нарушение BCP38), и помогали им осознать свою уязвимость.

Комбинация отключения monlist на серверах NTP и реализации входящей фильтрации в сетях, которые в настоящее время допускают подмену IP-адресов, является эффективным способом остановить этот тип атаки до того, как она достигнет предполагаемой сети.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *