DDOS mit NTP-Server

Question 1

Diese Angriffe gibt es schon seit Ewigkeiten, sie sind erst in den letzten Monaten wieder populär geworden. Sie funktionieren wie jeder normale Amplification-Angriff: Ein Host fälscht eine Abfrage, sodass die Quell-IP-Adresse der Zielhost zu sein scheint. Der NTP-Server sendet seine Antwort an die gefälschte Adresse. Da die Antwort für bestimmte Abfragetypen recht umfangreich sein kann und normalerweise UDP ist, kann dies für den Zielhost recht schnell zum Problem werden: Er wird mit NTP-Paketen überschwemmt.

Leider handelt es sich hierbei nicht um eine Sicherheitslücke in NTP-Servern, sondern nur um eine Funktion, die missbraucht wird. Bedenken Sie, ob Sie NTP-Server betreiben müssen, die aus dem gesamten Internet abgefragt werden können. Wenn dies nicht erforderlich ist, erstellen Sie eine Zugriffsliste oder Firewall-Richtlinie, um Abfragen aus nicht vertrauenswürdigen Quellen zu blockieren. Anschließend können Sie überprüfen, ob Ihre NTP-Server anfällig sind, indem Sie NTP-Abfragen aus nicht vertrauenswürdigen Quellen durchführen und prüfen, ob Sie eine Antwort erhalten. Leider gibt es jedoch eine ganze Reihe von NTP-Servern, die absichtlich öffentlich sind (z. B. alle Server in pool.ntp.org). Wenn Sie einen öffentlichen NTP-Server betreiben müssen, können Sie die Implementierung einer Abfrageratenbegrenzung in Betracht ziehen, um die Auswirkungen auf den Zielhost im Falle eines Missbrauchs zu verringern.

Ein weiterer, allgemeinerer Teil der Lösung besteht darin, dass Netzwerke implementieren müssenBCP38, das sie anweist, den Datenverkehr, der ihr Netzwerk verlässt, zu filtern, sodass das Senden gefälschter Pakete unmöglich ist. Leider gibt es immer noch viele Netzwerke, die diese Art der Filterung nicht implementieren, sodass alle Angriffe mit gefälschten Quellpaketen (unter Verwendung eines beliebigen Protokolls wie NTP, DNS oder Chargen) weiterhin möglich sind.

Was Sie tun können, um einen solchen Angriff abzuschwächen, hängt ein wenig von Ihrem Netzwerk und den verfügbaren Tools ab. Sie sollten jedoch in Betracht ziehen, eingehende NTP-Pakete von nicht vertrauenswürdigen Quellen zu blockieren (überprüfen Sie also, welche NTP-Server Sie verwenden). Dies hilft natürlich nicht, wenn Ihr Uplink überlastet ist. In diesem Fall müssen Sie Ihren ISP bitten, Ihnen beim Filtern des Datenverkehrs zu helfen.

Answer

Diese Angriffe gibt es schon seit Ewigkeiten, sie sind erst in den letzten Monaten wieder populär geworden. Sie funktionieren wie jeder normale Amplification-Angriff: Ein Host fälscht eine Abfrage, sodass die Quell-IP-Adresse der Zielhost zu sein scheint. Der NTP-Server sendet seine Antwort an die gefälschte Adresse. Da die Antwort für bestimmte Abfragetypen recht umfangreich sein kann und normalerweise UDP ist, kann dies für den Zielhost recht schnell zum Problem werden: Er wird mit NTP-Paketen überschwemmt.

Leider handelt es sich hierbei nicht um eine Sicherheitslücke in NTP-Servern, sondern nur um eine Funktion, die missbraucht wird. Bedenken Sie, ob Sie NTP-Server betreiben müssen, die aus dem gesamten Internet abgefragt werden können. Wenn dies nicht erforderlich ist, erstellen Sie eine Zugriffsliste oder Firewall-Richtlinie, um Abfragen aus nicht vertrauenswürdigen Quellen zu blockieren. Anschließend können Sie überprüfen, ob Ihre NTP-Server anfällig sind, indem Sie NTP-Abfragen aus nicht vertrauenswürdigen Quellen durchführen und prüfen, ob Sie eine Antwort erhalten. Leider gibt es jedoch eine ganze Reihe von NTP-Servern, die absichtlich öffentlich sind (z. B. alle Server in pool.ntp.org). Wenn Sie einen öffentlichen NTP-Server betreiben müssen, können Sie die Implementierung einer Abfrageratenbegrenzung in Betracht ziehen, um die Auswirkungen auf den Zielhost im Falle eines Missbrauchs zu verringern.

Ein weiterer, allgemeinerer Teil der Lösung besteht darin, dass Netzwerke implementieren müssenBCP38, das sie anweist, den Datenverkehr, der ihr Netzwerk verlässt, zu filtern, sodass das Senden gefälschter Pakete unmöglich ist. Leider gibt es immer noch viele Netzwerke, die diese Art der Filterung nicht implementieren, sodass alle Angriffe mit gefälschten Quellpaketen (unter Verwendung eines beliebigen Protokolls wie NTP, DNS oder Chargen) weiterhin möglich sind.

Was Sie tun können, um einen solchen Angriff abzuschwächen, hängt ein wenig von Ihrem Netzwerk und den verfügbaren Tools ab. Sie sollten jedoch in Betracht ziehen, eingehende NTP-Pakete von nicht vertrauenswürdigen Quellen zu blockieren (überprüfen Sie also, welche NTP-Server Sie verwenden). Dies hilft natürlich nicht, wenn Ihr Uplink überlastet ist. In diesem Fall müssen Sie Ihren ISP bitten, Ihnen beim Filtern des Datenverkehrs zu helfen.

Question 2

Meine Antworten:

Die Angriffe verwenden Monlist-Befehle (die in TCPdump als reserviertes NTPv2 angezeigt werden). Die Geschwindigkeit dieser Befehle ist nicht durch die normale Geschwindigkeitsbegrenzung begrenzt. Monlist (und andere Überwachungsbefehle) funktionieren nur von IPs aus, die Ihren Server „abfragen“ dürfen. Fügen Sie daher „noquery“ zu Ihren Standardeinstellungen hinzu.
Versuchen Sie „ntpdc -nc monlist yourip“ von einer externen IP-Adresse aus, um zu sehen, ob Ihr Server antwortet.
Begrenzen Sie die Rate Ihres eingehenden NTP-Verkehrs. Nicht im NTP-Defender selbst, sondern bevor er den Daemon erreicht. Wie Sie dies unter Linux einrichten, erfahren Sie in"Mein Ratenbegrenzungs-Setup" auf der NTP-Pool-Mailingliste

Answer

Meine Antworten:

Die Angriffe verwenden Monlist-Befehle (die in TCPdump als reserviertes NTPv2 angezeigt werden). Die Geschwindigkeit dieser Befehle ist nicht durch die normale Geschwindigkeitsbegrenzung begrenzt. Monlist (und andere Überwachungsbefehle) funktionieren nur von IPs aus, die Ihren Server „abfragen“ dürfen. Fügen Sie daher „noquery“ zu Ihren Standardeinstellungen hinzu.
Versuchen Sie „ntpdc -nc monlist yourip“ von einer externen IP-Adresse aus, um zu sehen, ob Ihr Server antwortet.
Begrenzen Sie die Rate Ihres eingehenden NTP-Verkehrs. Nicht im NTP-Defender selbst, sondern bevor er den Daemon erreicht. Wie Sie dies unter Linux einrichten, erfahren Sie in"Mein Ratenbegrenzungs-Setup" auf der NTP-Pool-Mailingliste

Question 3

Können Sie bitte Einzelheiten zu ihrer Funktionsweise erläutern und das klarstellen? Da NTP über UDP ausgeführt wird, gehe ich davon aus, dass es irgendwo eine Art gefälschtes Paket geben muss?

Das US-CERT hat eine großartige Beschreibung dieses Angriffs unter "Warnung (TA14-017A) UDP-basierte Amplification-Angriffe" Und "Warnung (TA14-013A) NTP-Amplification-Angriffe unter Verwendung von CVE-2013-5211".

TA14-013A bringt es am besten auf den Punkt:

Beschreibung

UDP ist von seiner Konzeption her ein verbindungsloses Protokoll, das Quell-IP-Adressen nicht validiert. Sofern das Protokoll auf Anwendungsebene keine Gegenmaßnahmen wie Sitzungsinitiierung verwendet, ist es sehr einfach, das Datagramm eines IP-Pakets so zu fälschen, dass es eine beliebige Quell-IP-Adresse enthält [7]. Wenn bei vielen UDP-Paketen die Quell-IP-Adresse zu einer einzigen Adresse gefälscht wird, antwortet der Server diesem Opfer und löst damit einen reflektierten Denial-of-Service-Angriff (DoS) aus.

In letzter Zeit hat man festgestellt, dass bestimmte UDP-Protokolle auf bestimmte Befehle bestimmte Antworten haben, die viel länger sind als die ursprüngliche Anfrage. Während Angreifer früher linear durch die Anzahl der Pakete begrenzt waren, die direkt an das Ziel gesendet wurden, um einen DoS-Angriff durchzuführen, kann jetzt ein einzelnes Paket in seiner Antwort die zehn- oder hundertfache Bandbreite erzeugen. Dies wird als Amplifikationsangriff bezeichnet und in Kombination mit einem reflektierenden DoS-Angriff im großen Maßstab macht es die Durchführung von DDoS-Angriffen relativ einfach.

Das beigefügte Diagramm zum „Bandbreitenverstärkungsfaktor (BAF)“ zeigt, dass NTP das schlechteste Verhalten aufweist. Da NTP ein äußerst verbreitetes Protokoll ist und viele Linux-Betriebssysteme mit einem aktiven NTP-Server ausgeliefert werden, ist dieses Problem besonders schlimm.

Answer

Können Sie bitte Einzelheiten zu ihrer Funktionsweise erläutern und das klarstellen? Da NTP über UDP ausgeführt wird, gehe ich davon aus, dass es irgendwo eine Art gefälschtes Paket geben muss?

Das US-CERT hat eine großartige Beschreibung dieses Angriffs unter "Warnung (TA14-017A) UDP-basierte Amplification-Angriffe" Und "Warnung (TA14-013A) NTP-Amplification-Angriffe unter Verwendung von CVE-2013-5211".

TA14-013A bringt es am besten auf den Punkt:

Beschreibung

UDP ist von seiner Konzeption her ein verbindungsloses Protokoll, das Quell-IP-Adressen nicht validiert. Sofern das Protokoll auf Anwendungsebene keine Gegenmaßnahmen wie Sitzungsinitiierung verwendet, ist es sehr einfach, das Datagramm eines IP-Pakets so zu fälschen, dass es eine beliebige Quell-IP-Adresse enthält [7]. Wenn bei vielen UDP-Paketen die Quell-IP-Adresse zu einer einzigen Adresse gefälscht wird, antwortet der Server diesem Opfer und löst damit einen reflektierten Denial-of-Service-Angriff (DoS) aus.

In letzter Zeit hat man festgestellt, dass bestimmte UDP-Protokolle auf bestimmte Befehle bestimmte Antworten haben, die viel länger sind als die ursprüngliche Anfrage. Während Angreifer früher linear durch die Anzahl der Pakete begrenzt waren, die direkt an das Ziel gesendet wurden, um einen DoS-Angriff durchzuführen, kann jetzt ein einzelnes Paket in seiner Antwort die zehn- oder hundertfache Bandbreite erzeugen. Dies wird als Amplifikationsangriff bezeichnet und in Kombination mit einem reflektierenden DoS-Angriff im großen Maßstab macht es die Durchführung von DDoS-Angriffen relativ einfach.

Das beigefügte Diagramm zum „Bandbreitenverstärkungsfaktor (BAF)“ zeigt, dass NTP das schlechteste Verhalten aufweist. Da NTP ein äußerst verbreitetes Protokoll ist und viele Linux-Betriebssysteme mit einem aktiven NTP-Server ausgeliefert werden, ist dieses Problem besonders schlimm.

DDOS mit NTP-Server

Antwort1

Antwort2

Antwort3

verwandte Informationen