Netflow / Scrutinizer – jak sobie radzić z atakami NTP DDoS

Atak typu DDoS jest przypadkiem typu Amplification Attack który bazuje na skorzystaniu z powszechnie dostępnych serwerów czasu NTP żeby obładować system zapytaniami UDP. Protokól NTP tradycyjnie wykorzystuje powiązania UDP na porcie 123 i jednocześnie jest najstarszym protokołem wykorzystywanym do koordynacji okresu czasu pomiędzy komputerami połączonymi w sieć. Cechą szczególną tego ataku, która powoduje, że jest on tak wydajny jest następstwo skali działania. Dyrektywa która jest delegowana z inicjacją kwerendy NTP jest w stanie obejmować bardzo niewielką porcję informacji, jednakże odpowiedź na nią jest niejednokrotnie większa. Jest kilka sposobów na wygenerowanie odpowiedniego wzmocnienia dla ataku i najczęstszym jest zastosowanie polecenia monlist w kwerendzie NTP. Ta dyspozycja sprawia wysłanie listy ostatnich kilkuset adresów IP które to wiązały się z serwerem NTP do naszego serwera NTP. Lista owa jest jednocześnie wynikiem mylących połączeń i obejmuje adresy atakowanych hostów. W następstwie tego formalny atak NTP DDoS jest uzyskiwany z serwerów NTP, którym została zaaplikowana lista kilkuset adresów pochodzących z serwerów publicznych..

Najszybszym i najtańszą drogą zrozumienia co się wydarza w naszej sieci wydaje się analiza protokołu Netflow IPFIX. Kontrola bezpieczeństwa za poprzez Netflow umożliwia obserwację nie tylko obecnego ruchu, ale w podobny sposób przemian w transmisji. Ta obserwacja przemian jest decydująca do wypatrzenia ataku DDOS. Ruch NTP wydaje się eksponowany na świat, ale jego skala nie musi się transformować w perspektywie czasu. Organizacja CERT zaleca następujące postępowanie w kontekście wykrycia ataku Reflective DDOS: Rozpoznanie ataków DRDOS nie wydaje się łatwe, z uwagi na implementację w jego przebiegu wydajnych i publicznych serwerów udostępniających serwisy UDP. Będąc operatorem układów pośredniczących w tych atakach należy szczególnie przyjrzeć się nieprawidłowościom ruchu sieciowego przede wszystkim w kontekście ilościowym. Przeszkoda w spełnieniu tego zalecenia wypływa z faktu, że nasze ogólnodostępne IP w zasadzie nie ujawni się na porównaniu TOP N w analizie NTP DDoS jako że skala tego ruchu jest mała, jedynie ilość jest większa niż zazwyczaj. Czy w swojej infrastrukturze sieciowej monitorujesz ruch, co pozwoli Ci ochronić swoje systemy przed takimi i analogicznymi atakami UDP DDOS? Czy weryfikujesz jakie zmiany zachodzą na twoim serwerze NTP aby zablokować temu podobne ataki? Jeżeli chciałbyś sprawdzić jak Scrutinizer sprawdzi się w takiej sytuacji, daj nam znać.

Więcej na temat  na: IT EMCA