Атаки потока DNS отличаются от атак усиления DNS. В отличие от наводнений DNS, атаки усиления DNS отражают и усиливают трафик с незащищенных DNS-серверов, чтобы скрыть источник атаки и повысить ее эффективность. Атаки усиления используют устройства с меньшей пропускной способностью для выполнения многочисленных запросов к незащищенным DNS-серверам. Устройства делают много небольших запросов для очень больших записей DNS, но при выполнении запросов злоумышленник подделывает обратный адрес, чтобы он был адресом предполагаемой жертвы. Усиление позволяет атакующему уничтожать большие цели с ограниченными ресурсами атаки.
Протокол сетевого времени предназначен для синхронизации внутренних часов устройств, подключенных к интернету, и выполняет важную функцию в архитектуре интернета. Используя команду monlist, включенную на некоторых NTP-серверах, злоумышленник может умножить свой первоначальный трафик запросов, что приведет к большому ответу. Эта команда включена по умолчанию на старых устройствах и отвечает последними 600 исходными IP-адресами запросов, которые были сделаны к серверу NTP. Запрос monlist от сервера с 600 адресами в памяти будет в 206 раз больше, чем первоначальный запрос. Это означает, что злоумышленник с 1 ГБ интернет-трафика может доставить 200 + гигабайт атаки – массовое увеличение трафика в результате атаки.
Атака усиления NTP может быть разбита на четыре этапа:
Злоумышленник использует ботнет для отправки UDP-пакетов с поддельными IP-адресами на сервер NTP, на котором включена команда monlist. Поддельный IP-адрес на каждом пакете указывает на реальный IP-адрес жертвы.
Каждый пакет UDP делает запрос к серверу NTP с помощью команды monlist, что приводит к большому ответу.
Затем сервер отвечает на поддельный адрес полученными данными.
IP-адрес цели получает ответ, и окружающая сетевая инфраструктура становится перегруженной потоком трафика, приводящим к отказу в обслуживании.
DDoS-атака с NTP. Способы борьбы.
Как работает атака усиления NTP
Все атаки усиления используют разницу в стоимости полосы пропускания между атакующим и целевым веб-ресурсом. Когда разница в стоимости увеличивается во многих запросах, результирующий объем трафика может нарушить сетевую инфраструктуру. Отправляя небольшие запросы, которые приводят к большим ответам, злоумышленник может получить больше от меньшего. При умножении этого увеличения на то, что каждый бот в ботнете делает аналогичные запросы, злоумышленник как прячется от обнаружения, так и пожинает преимущества значительно увеличенного трафика атаки.
NTP усиление DDoS атаки
В результате трафика атаки, похожего на законный трафик, поступающий от допустимых серверов, смягчение такого рода трафика атаки без блокирования реальных серверов NTP от законной деятельности трудно. Поскольку пакеты UDP не требуют подтверждения связи, сервер NTP будет отправлять большие ответы на целевой сервер без проверки подлинности запроса. Эти факты в сочетании со встроенной командой, которая по умолчанию посылает большой ответ, делает серверы NTP отличным источником отражения для DDoS-атак.
Как смягчается атака усиления NTP?
Для физического лица или компании, предоставляющей веб-сайт или услугу, возможности смягчения ограничены. Это происходит из-за того, что сервер человека, хотя он может быть целью, не является основным эффектом объемной атаки. Из-за большого объема генерируемого трафика инфраструктура, окружающая сервер, чувствует влияние. Поставщик услуг интернета (ISP) или другие вышестоящие поставщики инфраструктуры могут быть не в состоянии обработать входящий трафик, не становясь перегруженным. В результате интернет-провайдер может замаскировать весь трафик на IP-адрес целевой жертвы, защищая себя и отключая сайт цели. Стратегии смягчения, помимо выездных защитных услуг, таких как защита от DDoS Cloudflare, в основном являются профилактическими решениями для интернета.
Отключить monlist – уменьшить количество серверов NTP, поддерживающих команду monlist
Простым решением для исправления уязвимости monlist является отключение команды. Все версии программы НТП до версии 4.2.7 уязвимы по умолчанию. При обновлении сервера NTP до 4.2.7 или выше команда отключена, исправляя уязвимость. Если обновление невозможно, следуя инструкциям US-CERT, администратор сервера сможет внести необходимые изменения.
Проверка исходящего IP-адреса – остановить поддельные пакеты, исходящие из сети
Поскольку UDP-запросы, отправляемые ботнетами злоумышленника, должны иметь IP-адрес источника, подмененный IP-адресом жертвы, ключевым компонентом снижения эффективности атак на основе усиления UDP является отклонение поставщиками услуг интернета любого внутреннего трафика с поддельными IP-адресами. Если пакет отправляется изнутри сети с адресом источника, который делает его похожим на то, что он был отправлен вне сети, это, вероятно, поддельный пакет и может быть удален. Cloudflare настоятельно рекомендует, чтобы все поставщики реализовали фильтрацию входа, и время от времени обращались к интернет-провайдерам, которые неосознанно принимают участие в DDoS-атаках (в нарушение BCP38) и помогли им осознать свою уязвимость.
Комбинация отключения monlist на серверах NTP и реализации фильтрации входа в сети, которые в настоящее время позволяют спуфинг IP, является эффективным способом остановить этот тип атаки, прежде чем он достигнет своей предполагаемой сети.
Как Cloudflare смягчает атаки усиления NTP
С правильно настроенным брандмауэром и достаточной пропускной способностью сети (что не всегда легко получить), тривиально блокировать атаки отражения, такие как атаки усиления NTP. Хотя атаки будут нацелены на один IP-адрес сети Anycast нужно разрушить все атаки трафика до точки, где она больше не разрушается. Cloudflare может использовать преимущество масштабирования для распределения веса атаки по многим центрам обработки данных, балансируя нагрузку так, чтобы служба никогда не прерывалась, и атака никогда не перегружала инфраструктуру целевого сервера.
Главная / Всё обо всём / DDoS-атака с NTP. Способы борьбы.