Attaque par DDoS de l'amplification du NTP

Une attaque DDoS volumétrique qui tire profit d'une vulnérabilité du protocole NTP, dans le but d'inonder un serveur avec du trafic UDP.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir une attaque DDoS par amplification NTP
  • Expliquez comment fonctionne une attaque par amplification NTP
  • Comprendre plusieurs stratégies d'atténuation pour ce type d'attaque DDoS

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'une attaque par amplification NTP ?

Une attaque par amplification NTP est une attaque par déni de service distribué (DDoS) volumétrique basée sur la réflexion, dans laquelle un attaquant exploite une fonctionnalité de serveur NTP (Network Time Protocol) afin de submerger un réseau ou un serveur ciblé avec une quantité amplifiée de trafic UDP rendant la cible et son infrastructure environnante inaccessibles au trafic régulier.

Comment fonctionne une attaque par amplification DNS•?

Toutes les attaques par amplification exploitent une disparité de coûts de bande passante entre l'auteur d'une attaque et la ressource web ciblée. Lorsque la disparité de coût est amplifiée par de nombreuses requêtes, le volume de trafic qui en résulte peut perturber l'infrastructure du réseau. En envoyant de petites requêtes qui donnent lieu à des réponses volumineuses, l'utilisateur malveillant est en mesure d'obtenir plus avec moins. En multipliant cette amplification par des requêtes similaires de chaque bot d'un botnet, le pirate se met à l'abri de la détection et récolte les bénéfices d'une forte augmentation du trafic d'attaque.

Les attaques par flood DNS diffèrent des attaques par amplification DNS. À la différence du flood DNS, l'amplification DNS reflète et amplifie le trafic provenant des serveurs DNS non sécurisés afin de dissimuler l'origine de l'attaque et d'en accroître l'efficacité. Ces attaques s'appuient sur des appareils dotés de connexions à faible bande passante pour effectuer de nombreuses requêtes vers des serveurs DNS non sécurisés. Ces appareils émettent une vaste quantité de petites requêtes visant des enregistrements DNS très volumineux, mais lors de la saisie de ces requêtes, le pirate falsifie l'adresse de retour afin qu'elle indique celle de la victime. L'amplification permet ainsi aux pirates de s'attaquer à des cibles plus importantes malgré des ressources limitées en termes d'attaque.

L'amplification NTP, tout comme l'amplification DNS, peut être placée dans le contexte d'un adolescent malveillant qui appelle un restaurant et dit "Je vais prendre un plat de chaque élément de votre menu. Veuillez me rappeler pour me dire tout ce que j'ai commandé". Lorsque le restaurant demande un numéro de rappel, le numéro donné est celui du téléphone de la victime ciblée. La cible reçoit alors un appel du restaurant avec un grand nombre de renseignements qu'elle n'a pas demandées.

Conçu pour permettre aux appareils connectés à Internet de synchroniser leurs horloges internes, le protocole de temps réseau remplit une fonction importante dans l'architecture Internet. En exploitant de manière abusive la commande « monlist » présente sur certains serveurs NTP, un pirate peut ainsi multiplier le trafic de ses requêtes initiales et entraîner l'envoi d'une réponse particulièrement vaste. Activée par défaut sur les anciens appareils, cette commande répond avec les 600 dernières adresses IP sources des requêtes adressées au serveur NTP. La requête monlist d'un serveur comptant 600 adresses en mémoire se révélera ainsi 206 fois plus volumineuse que la requête initiale. Un pirate disposant de 1 Go de trafic Internet peut ainsi lancer une attaque de plus de 200 gigaoctets, soit une augmentation massive du trafic hostile qui en résulte.

Une attaque par amplification NTP peut être décomposée en quatre étapes :

  1. Le pirate exploite un botnet pour envoyer des paquets UDP avec des adresses IP usurpées à un serveur NTP dont la commande monlist est activée. L'adresse IP usurpée sur chaque paquet pointe vers l'adresse IP réelle de la victime.
  2. Chaque paquet UDP fait une requête au serveur NTP en exploitant sa commande monlist, ce qui entraîne une réponse volumineuse.
  3. Le serveur répond alors à l'adresse usurpée avec les données résultantes.
  4. L'adresse IP de la cible reçoit la réponse et l'infrastructure de réseau environnante est submergée par un flot de trafic, ce qui entraîne un déni de service.
Attaque DDoS par amplification NTP

Comme le trafic d'attaque ressemble à du trafic légitime provenant de serveurs valides, il est difficile d'atténuer ce type de trafic d'attaque sans bloquer l'activité légitime des serveurs NTP réels. Comme les paquets UDP ne nécessitent pas de poignée de main, le serveur NTP enverra des réponses volumineuses au serveur ciblé sans vérifier l'authenticité de la requête. Ces faits, associés à une commande intégrée qui envoie par défaut une réponse volumineuse, font des serveurs NTP une excellente source de réflexion pour les attaques par amplification DDoS.

Comment une attaque d'amplification NTP est-elle atténuée ?

Pour un particulier ou une entreprise gérant un site web ou un service, les options d'atténuation s'avèrent limitées, car l'effet principal d'une attaque volumétrique se fait sentir ailleurs qu'au niveau du serveur, même si ce dernier peut en être la cible. En raison de la quantité élevée de trafic généré, ces effets se ressentent ainsi plus fortement au niveau de l'infrastructure entourant le serveur. Le fournisseur d'accès à Internet (FAI) ou les autres fournisseurs d'infrastructure en amont peuvent ne pas être en mesure de traiter le trafic entrant sans être submergés sous ce dernier. Afin de se protéger, le FAI peut en conséquence rediriger vers un trou noir l'ensemble du trafic destiné à l'adresse IP de la victime, une procédure qui entraîne, de fait, la mise hors ligne du site de la cible. Hormis les services de protection hors site, tels que la protection contre les attaques DDoS de Cloudflare, les stratégies d'atténuation constituent, pour la plupart, des solutions préventives pour l'infrastructure Internet.

Désactiver monlist - réduire le nombre de serveurs NTP qui prennent en charge la commande monlist.

Une solution simple pour remédier à la vulnérabilité de monlist est de désactiver la commande. Toutes les versions du logiciel NTP antérieures à la version 4.2.7 sont vulnérables par défaut. En mettant à niveau un serveur NTP vers la version 4.2.7 ou supérieure, la commande est désactivée, permetant ainsi de corriger la vulnérabilité. Si la mise à niveau n'est pas possible, l'administrateur d'un serveur devra suivre les instructions de l'US-CERT pour apporter les modifications nécessaires.

Vérification de l'IP source – empêchez les paquets usurpés de quitter le réseau

Comme les requêtes UDP envoyées par le botnet d'un acteur malveillant doivent s'appuyer sur l'utilisation de l'adresse IP usurpée de la victime comme adresse IP source, l'un des éléments essentiels d'une stratégie de réduction de l'efficacité des attaques par amplification fondées sur UDP mise sur le rejet par les fournisseurs d'accès Internet (FAI) de l'ensemble du trafic interne reposant sur des adresses IP usurpées. Un paquet envoyé depuis l'intérieur du réseau avec une adresse source laissant croire qu'il provient de l'extérieur du réseau constitue ainsi probablement un paquet usurpé, qui peut donc être abandonné. Cloudflare recommande vivement à tous les fournisseurs de mettre en place un filtrage des entrées et, à certains moments, contactera directement les FAI qui participent à leur insu aux attaques DDoS, afin de les aider à prendre conscience de leur vulnérabilité.

La combinaison de la désactivation de monlist sur les serveurs NTP avec la mise en œuvre d'un filtrage d'entrée sur les réseaux qui donnent lieu actuellement à l'usurpation d'adresse IP est un moyen efficace de stopper ce type d'attaque avant qu'elle n'atteigne le réseau visé.

Comment Cloudflare atténue-t-il les attaques d'amplification NTP ?

Avec un pare-feu correctement configuré et une capacité réseau suffisante (qui n'est pas toujours simple à mettre en place, sauf si vous disposez de la capacité de Cloudflare), le blocage des attaques par réflexion, comme les attaques par amplification NTP, devient un jeu d'enfant. Bien que l'attaque ne cible qu'une seule adresse IP, notre réseau Anycast disperse l'ensemble du trafic hostile jusqu'à le purger totalement de son caractère déstabilisant. Les solutions Cloudflare s'appuient sur les avantages d'un vaste réseau pour répartir le poids de l'attaque sur de nombreux datacenters. Elles parviennent ainsi à équilibrer la charge, afin de prévenir toute interruption de service et d'empêcher l'attaque de surcharger l'infrastructure du serveur ciblé. Au cours des six derniers mois, « Gatebot » (notre système d'atténuation des attaques DDoS) a détecté 6 329 attaques par réflexion simples (soit une attaque toutes les 40 minutes), toutes atténuées avec succès par le réseau. En savoir plus sur la protection contre les attaques DDoS avancée de Cloudflare.