NTP amplification

NTP amplification по существу является разновидностью атаки отражения. Отражение атаки предполагает получить ответ от сервера на поддельный IP-адрес. Злоумышленник отправляет пакет с поддельным IP-адрес (жертвы) и сервер отвечает на этот адрес.

 

Содержание

  • 1 Описание технологии атаки
  • 2 Описание атаки
  • 3 Проверка уязвимости NTP сервера
  • 4 Рекомендации по защите NTP сервера

 

Описание технологии атаки

 

Протокол NTP (англ. Network Time Protocol) служит для синхронизации времени на компьютере. Его работа, как правило, не инициируется пользователем, а происходит в фоновом режиме, поэтому большинство пользователей о существовании этого протокола и не подозревает. Тем не менее, это один из самых широко используемых протоколов в мире. В качестве транспорта NTP использует UDP.

Протокол сетевого времени (NTP) является одним из старейших сетевых протоколов, и используется подключенные к Интернету машины, чтобы синхронизировать свои часы. В дополнение к синхронизации времени, старые версии поддерживать НТП сервис мониторинга, что позволяет администраторам запрашивать данную NTP-сервера для подсчета трафика. Эта команды, называемые “monlist,” отправляет запросившему список из последних 600 Хостов, подключенных к запрашиваемому серверу.

При атаке NTP amplification, злоумышленник неоднократно посылает “monlist” запрос к NTP-серверу, а подменный IP-адресу запрашиваемого сервера на сервер жертвы. NTP-сервер отвечая, посылая список на поддельный IP-адрес.

Этот ответ значительно превышает запрос, усиливая объем входящего трафика на целевой сервер и в конечном итоге приводит к деградации сервиса.

 

Описание Атаки

 

Amplification атаки опасны. Но они еще более опасны, когда усиливается. “Усиление” в данном контексте относится к получению ответа сервера, что является несоразмерным по отношению к первоначальному запросу. В случае усиления НТП, это относится к размеру “monlist” в отличие от размера исходного пакета.

В типичных DNS amplification, соотношение размера запроса — размера ответа составляет 1:70. Это означает, что злоумышленник, который контролирует 1 машину с 1Gbps может эффективно вести атаку в 70Gbps на целевой сервер.

В результате нападения NTP amplification, соотношение запрос-ответ где-то между 1:20 и 1:200 или более. Это означает, что любой злоумышленник, который получает список серверов, открытых NTP (например, с помощью инструмента, как для проекта metasploit или данные из проекта OpenNTP) могут легко генерировать разрушительные высокой пропускной способностью, большим объемом DDoS-атаке.

NTP

 

Как и во многих других угроз DDoS, смягчение ударов НТП амплификации является сложной задачей, поскольку ответы от серверов NTP, которые якобы легитимный трафик от сервера.

Кроме того, объем DDoS-трафика может легко сокрушить даже самых устойчивых сетевых инфраструктур. Как следствие, смягчение достигается за счет сочетания избыточной подготовки и фильтрации трафика.

Установки прокси-сервера гарантирует, что DDoS-трафик фильтруется вне сети клиента, где он не может причинить никакого вреда своей цели.

 

Проверка уязвимости сервера NTP

 

Для проверки вашего NTP сервера стоит выполнить команду:

 

# sudo nmap -sU -pU:123 -Pn -n —script=ntp-monlist 174.142.118.35
Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-01 17:38 EDT
Nmap scan report for 174.142.118.35
Host is up.
PORT    STATE         SERVICE
123/udp open|filtered ntp
Nmap done: 1 IP address (1 host up) scanned in 7.12 seconds

 

В данном выводе мы видим что ваш сервер NTP отдает список последних 600 хостов (monlist)

 

Рекомендации по защиты NTP сервера

 

ОТКЛЮЧЕНИЕ СЛУЖБЫ

Если вы не используете обновление времени, то самым простым способом будет отключить службу NTPD на сервере.

 

ОБНОВЛЕНИЕ СЕРВИСА

В версии 4.2.7p26 или больше исправлены данные недочеты, так что рекомендация по обновлению очень существенны.

 

НАСТРОЙКА FIREWALL

Настроить брандмауэр таким образом, чтобы выполнял фильтрацию трафика, который может помочь снизить риск атак, использовать исходный IP спуфинга. Обратитесь к документации вашего устройства для получения инструкций о том, как выполнять фильтрацию трафика.