Tấn công khuếch đại sử dụng NTP

Thảo luận trong 'Dos/DDOS' bắt đầu bởi kaitoukid, 06/03/15, 09:03 AM.

  1. kaitoukid

    kaitoukid Wh------

    Tham gia: 18/07/14, 02:07 PM
    Bài viết: 33
    Đã được thích: 27
    Điểm thành tích:
    28
    Như bài trước có đề cập về cách tấn công DrDoS bằng cách sử dụng DNS. Hôm nay, tôi sẽ viết tiếp về một kiểu tấn công DrDoS khác sử dụng giao thức NTP.
    Lưu ý: Bài viết chỉ mang tính chất tham khảo, tăng thêm kiến thức, không dùng cho mục đích xấu.
    Network Time Protocol (NTP) là một trong những giao thức mạng lâu đời nhất và được các máy nối internet dùng để đồng bộ đồng hồ.
    [​IMG]
    Đồng bộ thời gian

    Lỗ hổng được ghi nhận từ năm 2013 có mã là CVE – 2013 – 5211. Tính năng của NTP cho phép thực thi yêu cầu của bất kỳ người dùng nào khi gửi câu lệnh monlist, và NTP Server sẽ trả lại địa chỉ của những máy tính gần nhất mà Server có tác động tới.
    Yêu cầu từ phía client:
    ntpdc –c monlist 1xx.xxx.xxx.xx9


    Câu trả lời từ Server NTP:

    [​IMG]

    Ta thấy gói tin request có dụng lượng 234 bytes, và được nhận về câu trả lời với tổng dung lượng là 4,460 bytes. Như vậy, dung lượng gửi đi và nhận về chênh lệch nhau đến 19 lần.
    Ở đây kẻ xấu có thể lợi dụng việc này để thực hiện tấn công khuếch đại, khi làm làm giả Source IP trong gói tin gửi đi để hướng sự trả về từ NTP Server tới nạn nhận.
    Vậy sự khuếch đại này đạt được tối đa là bao nhiêu lần?

    [​IMG]

    Theo code của NTP Server thì độ dài tối đa của MRU (most –recently – used) là 600 địa chỉ tương ứng với 600 địa chỉ IP được NTP Server tác động gần nhất. Như vậy tối đa với một cậu lệnh gửi đi 234 bytes, ta có thể nhận về với tổng dung lượng khoảng 48k bytes. Sự khuếch đại này đạt đến mức 206 lần.
    [​IMG]
    Thống kê một vụ tấn công sử dụng NTP với khoảng 180Gbps và 50 triệu gói tin mỗi giây
    Nếu bạn là nạn nhân của cuộc tấn công DrDoS sử dụng NTP, không dễ dàng để bạn ngăn chặn nó. Cách duy nhất có thể làm là chặn tất cả các gói tin UDP đi vào cổng 123.
    Với các công ty quản lý NTP Server, hãy cập nhập các phiên bản mới hơn (từ 4.2.7p26 trở lên). Ngoài ra cũng có thể cấu hình firewall để chặn các yêu cầu từ IP không đáng tin cậy để tránh bị lợi dụng.

    Như bài trước có đề cập cách tấn công sử dụng DNS với độ khuếch đại khoảng 8 lần, bài này nói về tấn công sử dụng NTP với độ khuếch đại hơn 200 lần. Càng ngày các cuộc tấn công DdoS ngày càng tinh vi và nguy hiểm. Trong bài viết sắp tới, tôi sẽ trình bày cho các bạn một kiểu tấn công DrDoS khác có độ khuếch đại lên tới 600 lần.
     
    Last edited by a moderator: 07/03/15, 01:03 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 863
    Đã được thích: 344
    Điểm thành tích:
    83
    Re: Tấn công khuếch đại sử dụng NTP

    "Nếu bạn là nạn nhân của cuộc tấn công DrDoS sử dụng NTP, không dễ dàng để bạn ngăn chặn nó. Cách duy nhất có thể làm là chặn tất cả các gói tin UDP có cổng 123."
    Mình muốn hỏi kỹ hơn về việc này: nếu mình cấu hình firewall chặn các gói UDP có port nguồn là 123, thì lẽ dĩ nhiên là firewall phải đọc gói tin UDP để kiểm tra nội dung. Vậy khi số lượng gói tin UDP gửi đến là khoảng 50 triệu gói/s thì để phòng chống, cần mua firewall có năng lực (thông số kỹ thuật) như thế nào?
    Hoặc hơn nữa nếu giá của firewall đó đắt tiền quá thì có cách thiết kế hệ thống như thế nào để làm giảm thiệt hại của vụ tấn công?
    Có cách nào phát hiện sớm việc bị tấn công khuyêch đại DNS, NTP hay không?
    Thanks
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,520
    Đã được thích: 326
    Điểm thành tích:
    83
    Re: Tấn công khuếch đại sử dụng NTP

    Bài trên sai đoạn chặn tất cả các gói tin UDP có cổng 123 em đã sửa lại là chặn tất cả các gói tin đi vào cổng 123.
    Với hình thức tấn công này ta có thể sử dụng cách đối phó là tìm ra ip tấn công và chặn từ nguồn gốc.
    nếu chặn trên firewall thì lưu lượng các gói UDP sẽ bị tràn ở trước firewall vẫn gây mất kết nối cách này hiệu quả khi có băng thông lớn lên tới hàng 100 G
    bps
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan