Atak typu NTP Denial od Service Network Time Protocol Distributed Reflective Denial of Service (NTP DDoS) is atakiem typu Amplification Attack który bazuje na wykorzystaniu powszechnie dostępnych serwerów czasu NTP aby dociążyć system zapytaniami UDP. Protokól NTP tradycyjnie wykorzystuje połączenia UDP na portcie 123 i jednocześnie jest najstarszym protokołem wykorzystywanym do synchronizacji czasu pomiędzy komputerami w sieci.
Cechą szczególną tego ataku, która sprawia, że jest on tak skuteczny jest efekt skali działania. Komenda która jest wysyłana z inicjacją zapytania NTP może zawierać bardzo małą porcję danych, jednak odpowiedź na nią jest wielokrotnie większa. Jest kilka sposobów na wygenerowanie odpowiedniego wzmocnienia dla ataku i najczęstszym jest użycie komendy ‘monlist’ w zapytaniu NTP.
Ta komenda powoduje wysłanie listy ostatnich 600 adresów IP które łączyły się z serwerem NTP do naszego serwera NTP.
Lista ta jest jednocześnie wynikiem fałszywych połączeń i zawiera adresy atakowanych hostów.
Zatem formalny atak DDOS jest realizowanych z serwerów NTP, którym została wstrzyknięta lista 600 adresów pochodzących z serwerów publicznych.
![[Image: NTP-DDoS.jpg]](http://it.emca.pl/forum_graph/2014/NTP-DDoS.jpg)
Detekcja ataku NTP DDOS
Najszybszym i najtańszym sposobem zrozumienia co się dzieje w naszej sieci jest analiza protokołu Netflow/IPFIX. Monitoring bezpieczeństwa za pomocą Netflow pozwala na obserwację nie tylko aktualnego ruchu, ale także zmian w transmisji. Ta obserwacja zmian jest kluczowa do wykrycia ataku NTP DDOS. Ruch NTP jest wystawiony na świat, ale jego skala nie powinna się zmieniać w perspektywie czasu.
Organizacja The United States Computer Emergency Readiness Team (CERT) zaleca następujące zachowanie w kontekście wykrycia ataku Reflective DDOS. :
“Detekcja ataków DRDOS nie jest prosta, z uwagi na zastosowanie w jego przebiegu dużych i publicznych serwerów udostępniających serwisy UDP. Będąc operatorem systemów pośredniczących w tych atakach należy szczególnie przyjrzeć się anomalią ruchu sieciowego zwłaszcza pod kątem ilościowym. ”
Trudność w spełnieniu tego zalecenia wynika z faktu, że nasze publiczne IP generalnie nie pojawi się na zestawieniu TOP N w analizie DDOS ponieważ skala tego ruchu jest niewielka, jedynie liczba jest większa niż zazwyczaj. W poniższym widoku obserwujemy docelowy system z portem 10Gbps - ruch NTP nie pojawił się w zestawieniu TopN w raporcie paired conversation. - jednak w podsumowaniu aplikacja UDP 123 wyświetlona jest jako Nume 1.
![[Image: NetFlow-DDoS-Detection.png]](http://www.plixer.com/blog/wp-content/uploads/2014/03/NetFlow-DDoS-Detection.png)
NetFlow Security Monitoring
Czy w swojej infrastrukturze sieciowej monitorujesz ruch, co pozwoli Ci uchronić swoje systemy przed takimi i podobnymi atakami UDP DDOS ? Czy weryfikujesz jakie zmiany zachodzą na twoim serwerze NTP aby zatrzymać temu podobne ataki ?
Jeżeli chciałbyś sprawdzić jak Scrutinizer sprawdzi się w tej sytuacji, daj naj znać.
http://it.emca.pl
Cechą szczególną tego ataku, która sprawia, że jest on tak skuteczny jest efekt skali działania. Komenda która jest wysyłana z inicjacją zapytania NTP może zawierać bardzo małą porcję danych, jednak odpowiedź na nią jest wielokrotnie większa. Jest kilka sposobów na wygenerowanie odpowiedniego wzmocnienia dla ataku i najczęstszym jest użycie komendy ‘monlist’ w zapytaniu NTP.
Ta komenda powoduje wysłanie listy ostatnich 600 adresów IP które łączyły się z serwerem NTP do naszego serwera NTP.
Lista ta jest jednocześnie wynikiem fałszywych połączeń i zawiera adresy atakowanych hostów.
Zatem formalny atak DDOS jest realizowanych z serwerów NTP, którym została wstrzyknięta lista 600 adresów pochodzących z serwerów publicznych.
Detekcja ataku NTP DDOS
Najszybszym i najtańszym sposobem zrozumienia co się dzieje w naszej sieci jest analiza protokołu Netflow/IPFIX. Monitoring bezpieczeństwa za pomocą Netflow pozwala na obserwację nie tylko aktualnego ruchu, ale także zmian w transmisji. Ta obserwacja zmian jest kluczowa do wykrycia ataku NTP DDOS. Ruch NTP jest wystawiony na świat, ale jego skala nie powinna się zmieniać w perspektywie czasu.
Organizacja The United States Computer Emergency Readiness Team (CERT) zaleca następujące zachowanie w kontekście wykrycia ataku Reflective DDOS. :
“Detekcja ataków DRDOS nie jest prosta, z uwagi na zastosowanie w jego przebiegu dużych i publicznych serwerów udostępniających serwisy UDP. Będąc operatorem systemów pośredniczących w tych atakach należy szczególnie przyjrzeć się anomalią ruchu sieciowego zwłaszcza pod kątem ilościowym. ”
Trudność w spełnieniu tego zalecenia wynika z faktu, że nasze publiczne IP generalnie nie pojawi się na zestawieniu TOP N w analizie DDOS ponieważ skala tego ruchu jest niewielka, jedynie liczba jest większa niż zazwyczaj. W poniższym widoku obserwujemy docelowy system z portem 10Gbps - ruch NTP nie pojawił się w zestawieniu TopN w raporcie paired conversation. - jednak w podsumowaniu aplikacja UDP 123 wyświetlona jest jako Nume 1.
NetFlow Security Monitoring
Czy w swojej infrastrukturze sieciowej monitorujesz ruch, co pozwoli Ci uchronić swoje systemy przed takimi i podobnymi atakami UDP DDOS ? Czy weryfikujesz jakie zmiany zachodzą na twoim serwerze NTP aby zatrzymać temu podobne ataki ?
Jeżeli chciałbyś sprawdzić jak Scrutinizer sprawdzi się w tej sytuacji, daj naj znać.
http://it.emca.pl
