CloudFlare透漏其客戶遭受400G的NTP Flood攻擊,刷新歷史DDoS攻擊的流量峰值外,使得NTP Flood攻擊備受業(yè)界關(guān)注。其實(shí)自從黑客組織DERP使用了NTP發(fā)起反射攻擊后,2014新年內(nèi)的第一周,NTP反射攻擊占了DoS攻擊流量的69%,整個(gè)NTP攻擊的平均大小為約每秒7.3G bps,比2013年12月觀察到的平均攻擊流量高3倍。
下面讓我們看看NTP 服務(wù)器的原理。
NTP協(xié)議(network time protocol)是標(biāo)準(zhǔn)的網(wǎng)絡(luò)時(shí)間同步協(xié)議,它采用層次化時(shí)間分布模型。網(wǎng)絡(luò)體系結(jié)構(gòu)主要包括主時(shí)間服務(wù)器、從時(shí)間服務(wù)器和客戶機(jī)。主時(shí)間服務(wù)器位于根節(jié)點(diǎn),負(fù)責(zé)與高精度時(shí)間源進(jìn)行同步,為其他節(jié)點(diǎn)提供時(shí)間服務(wù);各客戶端由從時(shí)間服務(wù)器經(jīng)主服務(wù)器獲得時(shí)間同步。
以一個(gè)大企業(yè)網(wǎng)為例,企業(yè)搭建自身的時(shí)間服務(wù)器,作為從時(shí)間服務(wù)器,負(fù)責(zé)從主時(shí)間服務(wù)器同步時(shí)間,然后再負(fù)責(zé)將時(shí)間同步給企業(yè)的各業(yè)務(wù)系統(tǒng)。為確保時(shí)間同步延遲小,每個(gè)國(guó)家按地域搭建為數(shù)眾多的時(shí)間服務(wù)器,作為主時(shí)間服務(wù)器,滿足互聯(lián)網(wǎng)各業(yè)務(wù)系統(tǒng)的時(shí)間同步需求。
隨著網(wǎng)絡(luò)信息化的高速發(fā)展,包括金融業(yè),電信業(yè),工業(yè),鐵路運(yùn)輸,航空運(yùn)輸業(yè)等各行各業(yè)對(duì)于以太網(wǎng)技術(shù)的依賴日益增強(qiáng)。各式各樣的應(yīng)用系統(tǒng)由不同的服務(wù)器組成,如電子商務(wù)網(wǎng)站由WEB服務(wù)器、認(rèn)證服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器組成,WEB應(yīng)用要正常運(yùn)行,必須實(shí)時(shí)確保WEB服務(wù)器、認(rèn)證服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間的時(shí)鐘同步。再比如分布式的云計(jì)算系統(tǒng)、實(shí)時(shí)備份系統(tǒng)、計(jì)費(fèi)系統(tǒng)、網(wǎng)絡(luò)的安全認(rèn)證系統(tǒng)甚至基礎(chǔ)的網(wǎng)絡(luò)管理,都強(qiáng)依賴于精確的時(shí)間同步。
神秘的NTP Flood為什么如此受黑客的青睞呢?
NTP協(xié)議是基于UDP協(xié)議的服務(wù)器/客戶端模型,由于UDP協(xié)議的無(wú)連接性(不像TCP具有三次握手過(guò)程)具有天然的不安全性缺陷。黑客正式利用NTP服務(wù)器的不安全性漏洞發(fā)起DDoS攻擊。只需2步,即可輕松實(shí)現(xiàn)四兩撥千斤的攻擊效果。
第一步:尋找目標(biāo),包括攻擊對(duì)象和網(wǎng)絡(luò)上的NTP服務(wù)器資源。
第二步:偽造要“攻擊對(duì)象”的IP地址向NTP服務(wù)器發(fā)送請(qǐng)求時(shí)鐘同步請(qǐng)求報(bào)文,為了增加攻擊強(qiáng)度,發(fā)送的請(qǐng)求報(bào)文為Monlist請(qǐng)求報(bào)文,威力則更猛。NTP協(xié)議包含一個(gè)monlist功能,用于監(jiān)控 NTP 服務(wù)器,NTP 服務(wù)器響應(yīng)monlist指令后就會(huì)返回與其進(jìn)行過(guò)時(shí)間同步的最近 600 個(gè)客戶端的IP地址。響應(yīng)包按照每6個(gè)IP進(jìn)行分割,最多一個(gè)NTP monlist請(qǐng)求會(huì)形成100 個(gè)響應(yīng)包,具有強(qiáng)的放大的能力。實(shí)驗(yàn)室模擬測(cè)試顯示,當(dāng)請(qǐng)求包的大小為234字節(jié)時(shí),每個(gè)響應(yīng)包為 482 字節(jié),單純按照這個(gè)數(shù)據(jù),計(jì)算出放大的倍數(shù)是:482*100/234 = 206倍!
哇哈哈~~~攻擊效果很明顯,被攻擊目標(biāo)很快出現(xiàn)拒絕服務(wù)現(xiàn)象,更有甚者整個(gè)網(wǎng)絡(luò)擁塞。
自從黑客組織DERP發(fā)現(xiàn)NTP發(fā)起反射攻擊效果后,便在在2013年12月底上演了針對(duì)包括EA、暴雪等大型游戲公司的一系列DDoS攻擊事件中,使用了NTP反射攻擊??雌鹕衩氐腘TP反射攻擊,其實(shí)并不神秘,與DNS反射攻擊具有異曲同工之效,都是利用UDP協(xié)議的不安全漏洞,利用開(kāi)放的服務(wù)器發(fā)起的,不同的是NTP威脅性更強(qiáng),因?yàn)槊總€(gè)數(shù)據(jù)中心服務(wù)器都需要時(shí)鐘同步,無(wú)法通過(guò)協(xié)議、端口的過(guò)濾來(lái)進(jìn)行防護(hù)。
總結(jié)起來(lái)反射類(lèi)攻擊最大的特點(diǎn),就是以小博大,四兩撥千斤,利用各種協(xié)議漏洞來(lái)放大攻擊效果,但萬(wàn)變不離其宗,只要捏住攻擊的“七寸”,就能從根本上遏制攻擊。而反射攻擊的“七寸”就是它的流量異常。這就需要防護(hù)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)流量的異常,而發(fā)現(xiàn)異常還遠(yuǎn)遠(yuǎn)不夠,防護(hù)系統(tǒng)還要有足夠的性能來(lái)抵御這種簡(jiǎn)單粗暴攻擊,要知道現(xiàn)在的攻擊動(dòng)輒都是100G起了,防護(hù)系統(tǒng)要是沒(méi)個(gè)幾百G的防護(hù)能力,就是發(fā)現(xiàn)了,也只能干瞪眼。
華為Anti-DDoS系統(tǒng)會(huì)主動(dòng)建立數(shù)十種多種維度流量模型,第一時(shí)間發(fā)現(xiàn)流量異常,同時(shí)高達(dá)數(shù)百G的防護(hù)能力,足以應(yīng)對(duì)已知的最大流量攻擊。