NTP サーバーを使用した DDOS

Question 1

これらの攻撃は長年存在していましたが、ここ数か月で再び人気が高まっています。通常の増幅攻撃と同様に機能します。ホストはクエリを偽装し、ソース IP アドレスがターゲットホストであるように見せかけます。NTP サーバーは、偽装されたアドレスに応答を送信します。特定のクエリタイプに対する応答は非常に大きくなる可能性があり、通常は UDP であるため、ターゲットホストにとってこれは急速に問題になる可能性があります。つまり、NTP パケットで溢れかえってしまうのです。

残念ながら、これは NTP サーバーの脆弱性ではなく、単に悪用されている機能です。考慮すべきことの 1 つは、インターネット全体からクエリできる NTP サーバーを実行する必要があるかどうかです。それが必要ない場合は、アクセスリストまたはファイアウォールポリシーを作成して、信頼できないソースからのクエリをブロックします。次に、NTP サーバーが脆弱かどうかを確認するには、信頼できないソースから NTP クエリを実行し、応答があるかどうかを確認します。ただし、残念ながら、意図的に公開されている NTP サーバーがかなりあります (たとえば、のすべてのサーバーpool.ntp.org)。パブリック NTP サーバーを実行する必要がある場合は、クエリレート制限を実装して、悪用された場合にターゲットホストへの影響を軽減することを検討できます。

もう一つの、より一般的な解決策は、ネットワークが実装する必要があることです。BCP38これは、ネットワークから送信されるトラフィックをフィルタリングして、偽装パケットの送信を不可能にするように指示するものです。残念ながら、この種のフィルタリングを実装していないネットワークがまだ多数存在するため、偽装ソースパケット (NTP、DNS、chargen などのプロトコルを使用) によるすべての攻撃は依然として可能です。

このような攻撃を軽減するためにできることは、ネットワークと利用可能なツールによって多少異なりますが、信頼できないソースからの受信 NTP パケットをブロックすることを検討する必要があります (そのため、使用している NTP サーバーを確認してください)。もちろん、アップリンクが混雑している場合は、この方法は役に立ちません。その場合は、ISP にトラフィックのフィルタリングを依頼する必要があります。

Answer

これらの攻撃は長年存在していましたが、ここ数か月で再び人気が高まっています。通常の増幅攻撃と同様に機能します。ホストはクエリを偽装し、ソース IP アドレスがターゲットホストであるように見せかけます。NTP サーバーは、偽装されたアドレスに応答を送信します。特定のクエリタイプに対する応答は非常に大きくなる可能性があり、通常は UDP であるため、ターゲットホストにとってこれは急速に問題になる可能性があります。つまり、NTP パケットで溢れかえってしまうのです。

残念ながら、これは NTP サーバーの脆弱性ではなく、単に悪用されている機能です。考慮すべきことの 1 つは、インターネット全体からクエリできる NTP サーバーを実行する必要があるかどうかです。それが必要ない場合は、アクセスリストまたはファイアウォールポリシーを作成して、信頼できないソースからのクエリをブロックします。次に、NTP サーバーが脆弱かどうかを確認するには、信頼できないソースから NTP クエリを実行し、応答があるかどうかを確認します。ただし、残念ながら、意図的に公開されている NTP サーバーがかなりあります (たとえば、のすべてのサーバーpool.ntp.org)。パブリック NTP サーバーを実行する必要がある場合は、クエリレート制限を実装して、悪用された場合にターゲットホストへの影響を軽減することを検討できます。

もう一つの、より一般的な解決策は、ネットワークが実装する必要があることです。BCP38これは、ネットワークから送信されるトラフィックをフィルタリングして、偽装パケットの送信を不可能にするように指示するものです。残念ながら、この種のフィルタリングを実装していないネットワークがまだ多数存在するため、偽装ソースパケット (NTP、DNS、chargen などのプロトコルを使用) によるすべての攻撃は依然として可能です。

このような攻撃を軽減するためにできることは、ネットワークと利用可能なツールによって多少異なりますが、信頼できないソースからの受信 NTP パケットをブロックすることを検討する必要があります (そのため、使用している NTP サーバーを確認してください)。もちろん、アップリンクが混雑している場合は、この方法は役に立ちません。その場合は、ISP にトラフィックのフィルタリングを依頼する必要があります。

Question 2

私の答え:

攻撃では、monlist コマンド (tcpdump で ntpv2 reserved として表示されます) が使用されます。これらのコマンドは、通常のレート制限によってレート制限されません。monlist (およびその他の監視コマンド) は、サーバーを「クエリ」することを許可されている IP からのみ機能するため、デフォルトに「noquery」を追加します。
外部 IP から ntpdc -nc monlist yourip を試して、サーバーが応答するかどうかを確認します。
受信 NTP トラフィックのレート制限を行います。ntpd 自体ではなく、デーモンに到達する前に制限します。Linux でこれを設定する方法については、ntp プールメーリングリストの「私のレート制限設定」

Answer

私の答え:

攻撃では、monlist コマンド (tcpdump で ntpv2 reserved として表示されます) が使用されます。これらのコマンドは、通常のレート制限によってレート制限されません。monlist (およびその他の監視コマンド) は、サーバーを「クエリ」することを許可されている IP からのみ機能するため、デフォルトに「noquery」を追加します。
外部 IP から ntpdc -nc monlist yourip を試して、サーバーが応答するかどうかを確認します。
受信 NTP トラフィックのレート制限を行います。ntpd 自体ではなく、デーモンに到達する前に制限します。Linux でこれを設定する方法については、ntp プールメーリングリストの「私のレート制限設定」

Question 3

これらがどのように機能するかについて詳細を教えていただけますか? NTP は UDP 上で実行されるため、どこかに何らかの偽造パケットが存在するはずです。

US-CERTはこの攻撃について「警告 (TA14-017A) UDP ベースの増幅攻撃" そして "アラート (TA14-013A) CVE-2013-5211 を使用した NTP 増幅攻撃「」。

TA14-013A が最もよく表しています:

説明

UDP は、設計上、送信元 IP アドレスを検証しないコネクションレスプロトコルです。アプリケーション層プロトコルがセッション開始などの対策を講じない限り、IP パケットデータグラムを偽造して任意の送信元 IP アドレスを含めることは非常に簡単です [7]。多数の UDP パケットの送信元 IP アドレスが 1 つのアドレスに偽造されると、サーバーはその被害者に応答し、反射型サービス拒否 (DoS) 攻撃が発生します。

最近、特定の UDP プロトコルが、特定のコマンドに対して、最初のリクエストよりもはるかに大きい特定の応答を返すことが分かりました。以前は、攻撃者は DoS 攻撃を実行するためにターゲットに直接送信するパケットの数によって線形に制限されていましたが、現在では 1 つのパケットで応答の帯域幅を数十倍または数百倍にすることができます。これは増幅攻撃と呼ばれ、大規模なリフレクティブ DoS 攻撃と組み合わせると、DDoS 攻撃を実行するのが比較的簡単になります。

添付の「帯域幅増幅係数 (BAF)」に関するチャートは、NTP が最悪の動作を示すことを示しています。NTP は非常に一般的なプロトコルであり、多くの Linux OS にはアクティブな NTP サーバーが付属しているため、この問題は特に深刻です。

Answer