NTP-amplification

NTP-amplification

Описание

NTP-amplification это атака, которая стала популярна в последнее время ввиду простоты реализации и своей эффективности. Базируется на уязвимости протокола NTP (Протокол для синхронизации времени). Опасна атака не только владельцам ресурсов, но и операторам связи.Уязвимость  заключается в том, что если отправить NTP-серверу пакет с запросом о последних хостах, которые запрашивали у него время, сервер вышлет их список. Чем больше хостов раньше запрашивали у сервера время – тем больше список. Чем больше список, тем больше ответ! Соотношение между запросом и ответом может достигать 1 к 500+.  Именно это и используется злоумышленниками. Они рассылают на сервера NTP пакеты с запросами, а в качестве источника при формировании запроса указывают IP-адрес жертвы. Т.к. NTP — это UDP протокол, то сервер без проверки отправляет ответ тому, кто его запрашивал.

NTP-amplf

Чем больше серверов задействовано в атаке, тем больше трафика можно сгенерировать. Например, при 50 мб/c исходящего трафика от жертвы очень просто получить атаку в 3-4 Гб/с. Как можно догадаться, если у сервера линк 1Гб/с, а ему пришло 3Гб/c, то цель будет достигнута, жертва перестанет быть доступна.  Помимо того, нельзя выяснить, кто именно делал атаку из-за того, что вредоносные пакеты будут приходить от легитимных серверов. Здесь очень важно, если вы владелец NTP-сервера, проверить себя на уязвимость, чтобы случайно не принять участие в атаке.

Проверка сервера

Проверить ntp-сервер на уязвимость можно так:

#ntpdc -c monlist <ip-адрес сервера>

Cервер с уязвимостью выдаст следующее:

# ntpdc -c monlist xxx.xxx.68.46
--- xxx.xxx.68.46 ---
remote address port local address count m ver rstr avgint lstint
===============================================================================
ххх.ххх.202.37  80 xxx.xxx.68.46 1368 7 2 2 0 0
ххх.ххх.149.77  80 xxx.xxx.68.46 32698 7 2 2 0 0
ххх.ххх.103.185 80 xxx.xxx.68.46 22522 7 2 2 0 0
ххх.ххх.161.222 80 xxx.xxx.68.46 25977 7 2 2 0 0
ххх.ххх.131.205 80 xxx.xxx.68.46 10871 7 2 2 0 0
ххх.ххх.252.213 80 xxx.xxx.68.46 108578 7 2 2 0 1
ххх.ххх.52.119  80 xxx.xxx.68.46 1770 7 2 2 0 162
ххх.ххх.222.150 80 xxx.xxx.68.46 2339 7 2 2 0 293
ххх.ххх.198.132 80 xxx.xxx.68.46 2622 7 2 2 0 408
ххх.ххх.219.169 80 xxx.xxx.68.46 8020 7 2 2 0 596
ххх.ххх.117.20  80 xxx.xxx.68.46 14167 7 2 2 0 768
ххх.ххх.19.234  7000 xxx.xxx.68.46 13579 7 2 2 0 794
ххх.ххх.222.235 80 xxx.xxx.68.46 99296 7 2 2 0 848
ххх.ххх.219.169 80 xxx.xxx.68.46 1344 7 2 2 0 868
ххх.ххх.143.98  39201 xxx.xxx.68.46 38926 7 2 2 0 886
ххх.ххх.146.14  28301 xxx.xxx.68.46 32948 7 2 2 0 1245
ххх.ххх.84.232  7001 xxx.xxx.68.46 4178 7 2 2 0 1373
ххх.ххх.176.30  80 xxx.xxx.68.46 28552 7 2 2 0 1373
ххх.ххх.62.148  80 xxx.xxx.68.46 50701 7 2 2 0 1373
ххх.ххх.253.235 13017 xxx.xxx.68.46 27614 7 2 2 0 1373
ххх.ххх.253.163 7004 xxx.xxx.68.46 14611 7 2 2 0 1373

Как видно, данный сервер активно принимает участие в атаках, при чем атаки в основном идут с него на 80-0й порт, что совсем глупо, потому что в 90% случаях udp-трафика на данном порту быть не должно. Если «пошерстить» интернет, то потенциально опасных серверов окажется очень много.

Заключение

На данный момент атакой NTP-amplification было сгенерировано 400+ Гб/c вредоносного трафика, что является рекордом в 2014 году. Успешностью NTP-amplification является ее простота и огромное плечо для усиления. Также в интернете очень много скриптов в открытом доступе для реализации этой атаки, что только увеличивает ее популярность.

Атаке подвержены версии софта ntpd до 4.2.7p26, т.е.  всем, кто не хочет быть вовлечен в разборки школьников/студентов, рекомендуется обновиться.

Купить\Заказать услугу AntiDDOS можно здесь.