DDoS-атаки, усиливающие трафик с помощью NTP

20 Января 2014
Американская группа компьютерного мониторинга US-CERT предупреждает об активизации особо опасных DDoS-атак, которые в целях мощного усиления трафика обращаются к NTP-серверам, в результате чего на атакуемую систему выливается огромный поток лишнего трафика. В ходе производимой операции запросы компьютеров, подвергаемых DDoS-атаке, проходят через промежуточный канал, который способен в несколько раз усилить трафик с помощью сервера с синхронизацией точного времени, отправляя при этом UDP-пакеты с несуществующим обратным адресом.

Ранее для подобных DDoS- атак применялись обычные DNS-сервера с целью усиления трафика. Теперь же злоумышленники стали обращаться к публичным NTP-серверам. В данном случае усиление трафика происходит следующим образом: с компьютера жертвы путём использования UDP-пакета с подставным IP-адресом отправляется запрос MON_GETLIST на сервер NTP – в результате выполнения данной команды генерируется и отправляется список из 600 последних IP-адресов, ранее обращавшихся к данному NTP-серверу. Таким образом, ответный запрос представляет собой в несколько раз умноженный исходный запрос, отправленный на сервер. Например, первоначальный запрос уходит на NTP-сервер в размере 234 байт, а ответ превращается в 48 Кб. Данный вид DDoS-атаки многократно усиливает объем трафика, направленного к системе жертвы. Как сообщает ресурс opennet.ru, автоматически отправляемый запрос "get monlist" может выполняться без требования аутентификации, что, без сомнений, значительно усугубляет проблему.

Согласно наблюдениям экспертов, с подобной DDoS-атакой могут столкнуться все версии NTPD до 4.2.7p25 включительно, в последующей серии 4.2.7p26 поддержка запроса "monlist" была отключена. Для того, чтобы предотвратить участие NTP-сервера в DDoS-атаке, необходимо запретить проведение мониторинга через директиву "disable monitor" или же запретить все команды показа статистики через функцию "noquery" в секции "restrict default" в ntp.conf. Еще один метод заключается в ограничении доступа к серверу NTP при помощи модифицированных версий ntpd, где была произведена отмена реакции на команду "monlist" (для этого из стандартной сборки удаляется строка "proto_config (PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). В настоящее время уже выпущенная обновленная сборка для FreeBSD, с отсутствием уязвимости.

Самостоятельно проверить сервер на наличие уязвимости можно, перейдя по адресу "/usr/sbin/ntpdc ip адрес сервера " и запустив команду "monlist".

Если же самостоятельно справиться с такой задачей вы не можете, пригласите грамотного системного администратора, который поможет выявить и устранить возможные уязвимости на вашем оборудовании / сервере. Компания «Социалит» предлагает воспользоваться такой услугой, как it аутсорсинг. На сегодняшний день it аутсорсинг стал популярной и очень востребованной услугой, которую предлагают московские IT-компании. Системное администрирование в рамках it аутсорсинга может позволить себе любая небольшая или крупная организация. Наши специалисты помогут вам избежать DDoS-атак любой модификации. Доверьтесь профессионалам!

Написать комментарий

Имя (*):


Эл. почта (*):


Сообщение (*):


Введите код с картинки (*):




Поля отмеченные (*) обязательны к заполнению.
Мы не публикуем эл. адреса на сайте.