NTP-Amplification-DDoS-Angriff

Ein volumetrischer DDoS-Angriff, der ein Sicherheitsrisiko im NTP-Protokoll ausnutzt, um einen Server mit UDP-Traffic zu überfluten.

Share facebook icon linkedin icon twitter icon email icon

NTP-Amplification-Angriff

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen NTP-Amplification-DDoS-Angriff definieren
  • Den Ablauf eines NTP-Amplification-Angriffs erklären
  • Mehrere Bekämpfungsstrategien für diesen DDoS-Angriffstyp verstehen

Was ist ein NTP-Amplification-Angriff?

Ein NTP-Amplification-Angriff ist ein Reflection-basierter volumetrischer verteilter Denial-of-Service-(DDoS)-Angriff, bei dem ein Angreifer eine „Network Time Protocol (NTP)“-Serverfunktionalität ausnutzt, um ein Zielnetzwerk oder einen Zielserver mit einem verstärkten Volumen an UDP-Traffic zu überfluten und das Ziel und seine umgebende Infrastruktur für regulären Datenverkehr unzugänglich zu machen.

Wie läuft ein NTP-Amplification-Angriff ab?

Alle Amplification-Angriffe nutzen ein Missverhältnis im Bandbreitenverbrauch zwischen einem Angreifer und der angegriffenen Webressource aus. Wenn das Missverhältnis durch viele Anfragen verstärkt wird, kann das resultierende Datenverkehrsvolumen die Netzwerkinfrastruktur stören. Wenn kleine Abfragen gesendet werden, die zu großen Antworten führen, kann der böswillige Benutzer aus weniger mehr erhalten. Wenn diese Verstärkung dadurch vervielfältigt wird, dass jeder Bot in einem Botnetz ähnliche Anfragen vornimmt, wird der Angreifer einerseits vor Erkennung geschützt und profitiert andererseits von den Vorteilen eines stark erhöhten Angriffs-Traffics.


DNS-Flood-Angriffe unterscheiden sich von DNS-Amplification-Angriffen. Anders als DNS-Floods reflektieren und verstärken DNS-Amplification-Angriffe Datenverkehr von ungesicherten DNS-Servern, um den Ursprung des Angriffs zu verbergen und seine Effektivität zu steigern. DNS-Amplification-Angriffe setzen Geräte mit kleineren Bandbreitenverbindungen ein, um zahlreiche Anfragen an ungesicherte DNS-Server zu stellen. Die Geräte stellen viele kleine Anfragen für sehr große DNS-Einträge, aber bei der Unterbreitung der Anfragen fälscht der Angreifer die Rückadresse mit derjenigen des vorgesehenen Opfers. Aufgrund der Verstärkung kann der Angreifer größere Ziele mit nur begrenzten Angriffsressourcen außer Gefecht setzen.


Ähnlich der DNS-Amplification kann NTP-Amplification mit einem böswilligen Teenager verglichen werden, der ein Restaurant anruft und sagt: „Ich möchte von jedem etwas. Bitte rufen Sie mich zurück und nennen Sie mir die gesamte Bestellung.“ Wenn das Restaurant nach einer Rückrufnummer fragt, wird die Telefonnummer des Opfers angegeben. Das Opfer erhält dann einen Anruf vom Restaurant mit vielen Informationen, die es nicht verlangt hat.


Das Network Time Protocol ist so konzipiert, dass mit dem Internet verbundene Geräte ihren internen Takt synchronisieren können, und es hat eine wichtige Funktion in der Internet-Architektur. Durch Missbrauch des Monlist-Befehls, der an einigen NTP-Servern aktiviert ist, kann ein Angreifer seinen ursprünglichen Anfrage-Traffic vervielfachen, was zu einer großen Reaktion führt. Dieser Befehl ist an älteren Geräten standardmäßig aktiviert und antwortet mit den letzten 600 Quell-IP-Adressen von Anfragen, die an den NTP-Server gestellt worden sind. Die Monlist-Anfrage von einem Server mit 600 Adressen in seinem Speicher ist 206-mal größer als die ursprüngliche Anfrage. Das bedeutet, dass ein Angreifer mit 1 GB Internet-Traffic einen Angriff mit mehr als 200 Gigabyte ausführen kann – ein enormer Anstieg des resultierenden Angriffs-Traffics.

Ein NTP-Amplification-Angriff kann in vier Schritte unterteilt werden:

  1. Der Angreifer setzt ein Botnetz ein, um UDP-Pakete mit gespooften IP-Adressen an einen NTP-Server zu senden, bei dem der Monlist-Befehl aktiviert ist. Die gespoofte IP-Adresse an jedem Paket weist auf die echte IP-Adresse des Opfers.
  2. Jedes UDP-Paket stellt eine Anfrage an den NTP-Server mit seinem Monlist-Befehl, was zu einer großen Reaktion führt.
  3. Der Server antwortet der gespooften Adresse daraufhin mit den resultierenden Daten.
  4. Die IP-Adresse des Opfers empfängt die Antwort, und die umgebende Netzwerkinfrastruktur wird mit Datenverkehr überflutet, wodurch ein Denial-of-Service verursacht wird.
NTP Amplification DDoS Attack

Da der Angriffs-Traffic wie legitimer Datenverkehr von gültigen Servern aussieht, ist es schwer, diese Art von Angriffs-Traffic zu bekämpfen, ohne echte NTP-Server so zu blockieren, dass sie keine legitime Aktivität mehr ausführen können. Weil für UDP-Pakete kein Handshake erforderlich ist, sendet der NTP-Server große Antworten an den Zielserver, ohne zu überprüfen, ob die Anfrage authentisch ist. Diese Umstände – zusammen mit einem integrierten Befehl, der standardmäßig eine große Antwort sendet – machen NTP-Server zu einer ausgezeichneten Reflexionsquelle für DDoS-Amplification-Angriffe.

Wie wird ein NTP-Amplification-Angriff bekämpft?

Für Einzelpersonen oder Unternehmen, die eine Website oder einen Dienst betreiben, sind die Optionen zur Bekämpfung eingeschränkt. Das liegt daran, dass der Server der Einzelperson – auch wenn er eventuell das Ziel sein kann – nicht der Punkt ist, an dem die Hauptwirkung eines volumetrischen Angriffs gespürt wird. Aufgrund der großen erzeugten Datenverkehrsmenge spürt die den Server umgebende Infrastruktur die Auswirkungen. Der Internet-Serviceprovider (ISP) oder andere Provider von Upstream-Infrastrukturen sind eventuell nicht in der Lage, den eintreffenden Datenverkehr zu handhaben, ohne überlastet zu werden. Infolgedessen verwirft der ISP eventuell allen Datenverkehr an die IP-Adresse des Opfers, schützt sich selbst und nimmt die Website des Opfers offline. Bei Bekämpfungsstrategien handelt es sich abgesehen von Offsite-Schutzdiensten wie Cloudflares DDoS-Schutz meistens um vorbeugende Internet-Infrastrukturlösungen.

Deaktivierung von Monlist: Reduzieren Sie die Anzahl der NTP-Server, die den Monlist-Befehl unterstützen.

Eine einfache Lösung zur Behebung des Monlist-Sicherheitsrisikos liegt darin, den Befehl zu deaktivieren. Alle Versionen der NTP-Software vor Version 4.2.7 sind standardmäßig anfällig. Durch Aktualisierung eines NTP-Servers auf Version 4.2.7 oder höher wird der Befehl deaktiviert und das Sicherheitsrisiko behoben. Wenn eine Aktualisierung nicht möglich ist, kann der Administrator eines Servers mithilfe der US-CERT-Anweisungen die nötigen Änderungen vornehmen.

Überprüfung der Quell-IP: Stoppen Sie gespoofte Pakete, die das Netzwerk verlassen.

Da die UDP-Anfragen, die vom Botnetz des Angreifers gesendet werden, eine Quell-IP-Adresse haben müssen, die die gespoofte IP-Adresse des Opfers ist, besteht eine Schlüsselkomponente zur Reduzierung der Effektivität von UDP-basierten Amplification-Angriffen darin, dass Internet-Serviceprovider (ISPs) allen internen Datenverkehr mit gespooften IP-Adressen verwerfen. Wenn ein Paket von innerhalb des Netzwerks mit einer Quelladresse gesendet wird, die den Anschein erweckt, dass es seinen Ursprung außerhalb des Netzwerks hat, handelt es sich dabei wahrscheinlich um ein gespooftes Paket, das verworfen werden kann. Cloudflare empfiehlt dringend, dass alle Provider eine Filterung des eingehenden Verkehrs implementieren, und wird von Zeit zu Zeit ISPs kontaktieren, die ohne es zu wissen an DDoS-Angriffen beteiligt sind (und dabei gegen BCP38 verstoßen), und ihnen helfen, ihre Anfälligkeit für Angriffe zu verstehen.


Die Kombination dieser beiden Maßnahmen – Deaktivierung von Monlist an NTP-Servern und Filterung des eingehenden Datenverkehrs an Netzwerken, die zurzeit IP-Spoofing zulassen – ist eine effektive Methode, um diesen Angriffstyp zu stoppen, bevor er sein Zielnetzwerk erreicht.

Wie bekämpft Cloudflare NTP-Amplification-Angriffe?

Mit einer richtig konfigurierten Firewall und genügend Netzwerkkapazität (was nicht immer leicht zu erreichen ist, wenn Sie nicht die Größe von Cloudflare haben), ist es einfach, Reflection-Angriffe wie NTP-Amplification-Angriffe zu blockieren. Obwohl der Angriff auf eine einzelne IP-Adresse abzielt, zerstreut unser Anycast Network den gesamten Angriffs-Traffic, bis er keine störende Wirkung mehr hat. Cloudflare kann unseren Größenordnungsvorteil einsetzen, um das Gewicht des Angriffs über viele Rechenzentren zu verteilen und die Last so auszugleichen, dass der Dienst nie unterbrochen wird und der Angriff die Infrastruktur des angegriffenen Servers nie überflutet. Während eines kürzlichen sechsmonatigen Zeitraums erkannte unser DDoS-Bekämpfungssystem „Gateboat“ 6.329 einfache Reflection-Angriffe (das ist ein Angriff alle 40 Minuten), und das Netzwerk bekämpfte alle von ihnen erfolgreich. Erfahren Sie mehr über Cloudflares erweiterten DDoS-Schutz.