NTP amplification DDoS attack

Ein volumetrischer DDoS-Angriff, der ein Sicherheitsrisiko im NTP-Protokoll ausnutzt, um einen Server mit UDP-Traffic zu überfluten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen NTP-Amplification-DDoS-Angriff definieren
  • Den Ablauf eines NTP-Amplification-Angriffs erklären
  • Mehrere Bekämpfungsstrategien für diesen DDoS-Angriffstyp verstehen

Link zum Artikel kopieren

Was ist ein NTP-Amplification-Angriff?

Ein NTP-Amplification-Angriff ist ein Reflection-basierter volumetrischer verteilter Denial-of-Service-(DDoS)-Angriff, bei dem ein Angreifer eine „Network Time Protocol (NTP)“-Serverfunktionalität ausnutzt, um ein Zielnetzwerk oder einen Zielserver mit einem verstärkten Volumen an UDP-Traffic zu überfluten und das Ziel und seine umgebende Infrastruktur für regulären Traffic unzugänglich zu machen.

Wie läuft ein NTP-Amplification-Angriff ab?

Alle Amplification-Angriffe nutzen ein Missverhältnis in den Bandbreitenkosten zwischen einem Angreifer und der angegriffenen Webressource aus. Wenn das Missverhältnis durch viele Anfragen verstärkt wird, kann das resultierende Traffic-Volumen die Netzwerkinfrastruktur stören. Wenn kleine Abfragen gesendet werden, die zu großen Antworten führen, kann der böswillige Benutzer aus weniger mehr erhalten. Wenn diese Verstärkung dadurch vervielfältigt wird, dass jeder Bot in einem Botnetz ähnliche Anfragen vornimmt, wird der Angreifer einerseits vor Erkennung geschützt und profitiert andererseits von den Vorteilen eines stark erhöhten Angriffs-Traffics.

DNS flood attacks differ from DNS amplification attacks. Unlike DNS floods, DNS amplification attacks reflect and amplify traffic off unsecured DNS servers in order to hide the origin of the attack and increase its effectiveness. DNS amplification attacks use devices with smaller bandwidth connections to make numerous requests to unsecured DNS servers. The devices make many small requests for very large DNS records, but when making the requests, the attacker forges the return address to be that of the intended victim. The amplification allows the attacker to take out larger targets with only limited attack resources.

Ähnlich der DNS-Amplification kann NTP-Amplification mit einem böswilligen Teenager verglichen werden, der ein Restaurant anruft und sagt: „Ich möchte von jedem etwas. Bitte rufen Sie mich zurück und nennen Sie mir die gesamte Bestellung.“ Wenn das Restaurant nach einer Rückrufnummer fragt, wird die Telefonnummer des Opfers angegeben. Das Opfer erhält dann einen Anruf vom Restaurant mit vielen Informationen, die es nicht verlangt hat.

The Network Time Protocol is designed to allow internet connected devices to synchronize their internal clocks, and serves an important function in internet architecture. By exploiting the monlist command enabled on some NTP servers, an attacker is able to multiply their initial request traffic, resulting in a large response. This command is enabled by default on older devices, and responds with the last 600 source IP addresses of requests which have been made to the NTP server. The monlist request from a server with 600 addresses in its memory will be 206 times larger than the initial request. This means that an attacker with 1 GB of internet traffic can deliver a 200+ gigabyte attack - a massive increase in the resulting attack traffic.

Ein NTP-Amplification-Angriff kann in vier Schritte unterteilt werden:

  1. Der Angreifer setzt ein Botnetz ein, um UDP-Pakete mit gespooften IP-Adressen an einen NTP-Server zu senden, bei dem der Monlist-Befehl aktiviert ist. Die gespoofte IP-Adresse an jedem Paket weist zur echten IP-Adresse des Opfers.
  2. Jedes UDP-Paket stellt eine Anfrage an den NTP-Server mit seinem Monlist-Befehl, was zu einer großen Reaktion führt.
  3. Der Server antwortet der gespooften Adresse daraufhin mit den resultierenden Daten.
  4. Die IP-Adresse des Opfers empfängt die Antwort, und die umgebende Netzwerkinfrastruktur wird mit Traffic überflutet, wodurch ein Denial-of-Service verursacht wird.
NTP-Amplification-DDoS-Angriff

Da der Angriffs-Traffic wie legitimer Datenverkehr von gültigen Servern aussieht, ist es schwer, diese Art von Angriffs-Traffic zu bekämpfen, ohne echte NTP-Server so zu blockieren, dass sie keine legitime Aktivität mehr ausführen können. Weil für UDP-Pakete kein Handshake erforderlich ist, sendet der NTP-Server große Antworten an den Zielserver, ohne zu überprüfen, ob die Anfrage authentisch ist. Diese Umstände – zusammen mit einem integrierten Befehl, der standardmäßig eine große Antwort sendet – machen NTP-Server zu einer ausgezeichneten Reflexionsquelle für DDoS-Amplification-Angriffe.

Wie wird ein NTP-Amplification-Angriff bekämpft?

For an individual or company running a website or service, mitigation options are limited. This comes from the fact that the individual’s server, while it might be the target, is not where the main effect of a volumetric attack is felt. Due to the high amount of traffic generated, the infrastructure surrounding the server feels the impact. The Internet Service Provider (ISP) or other upstream infrastructure providers may not be able to handle the incoming traffic without becoming overwhelmed. As a result, the ISP may blackhole all traffic to the targeted victim’s IP address, protecting itself and taking the target’s site off-line. Mitigation strategies, aside from offsite protective services like Cloudflare DDoS protection, are mostly preventative internet infrastructure solutions.

Deaktivierung von Monlist: Reduzieren Sie die Anzahl der NTP-Server, die den Monlist-Befehl unterstützen.

Eine einfache Lösung zur Behebung des Monlist-Sicherheitsrisikos liegt darin, den Befehl zu deaktivieren. Alle Versionen der NTP-Software vor Version 4.2.7 sind standardmäßig anfällig. Durch Aktualisierung eines NTP-Servers auf Version 4.2.7 oder höher wird der Befehl deaktiviert und das Sicherheitsrisiko behoben. Wenn eine Aktualisierung nicht möglich ist, kann der Administrator eines Servers mithilfe der US-CERT-Anweisungen die nötigen Änderungen vornehmen.

Überprüfung der Quell-IP: Stoppen Sie gespoofte Pakete, die das Netzwerk verlassen.

Because the UDP requests being sent by the attacker’s botnet must have a source IP address spoofed to the victim’s IP address, a key component in reducing the effectiveness of UDP-based amplification attacks is for internet service providers (ISPs) to reject any internal traffic with spoofed IP addresses. If a packet is being sent from inside the network with a source address that makes it appear like it originated outside the network, it’s likely a spoofed packet and can be dropped. Cloudflare highly recommends that all providers implement ingress filtering, and at times will reach out to ISPs who are unknowingly taking part in DDoS attacks (in violation of BCP38) and help them realize their vulnerability.

Die Kombination dieser beiden Maßnahmen – Deaktivierung von Monlist an NTP-Servern und Filterung des eingehenden Traffics in Netzwerken, die zurzeit IP-Spoofing zulassen – ist eine effektive Methode, um diesen Angriffstyp zu stoppen, bevor er sein Zielnetzwerk erreicht.

Wie bekämpft Cloudflare NTP-Amplification-Angriffe?

With a properly configured firewall and sufficient network capacity (which isn't always easy to come by unless you are the size of Cloudflare), it's trivial to block reflection attacks such as NTP amplification attacks. Although the attack will target a single IP address, our Anycast network will scatter all attack traffic to the point where it is no longer disruptive. Cloudflare is able to use our advantage of scale to distribute the weight of the attack across many Data Centers, balancing the load so that service is never interrupted and the attack never overwhelms the targeted server’s infrastructure. During a recent six-month window, our DDoS mitigation system "Gatebot" detected 6,329 simple reflection attacks (that's one every 40 minutes), and the network successfully mitigated all of them. Learn more about Cloudflare's advanced DDoS Protection.