NTP Amplification Ddos Attack Là Gì?

Là kỹ thuật tấn công DDoS với khối lượng traffic lớn, lợi dụng lỗ hổng của giao thức NTP với mục tiêu làm ”ngập lụt” máy chủ victim với giao thức UDP.

1. NTP là gì?

Viết tắt của cụm từ Network Time Protocol. Được định nghĩa là giao thức đồng bộ thời gian mạng. Mục tiêu của NTP Server là giúp cho các máy tính kết nối vào mạng Internet luôn được đồng bộ thời gian một cách chính xác. Các máy client sẽ gửi gói tin NTP Request lên máy chủ, các máy chủ NTP có thể được chia ra nhiều cấp, được cấu hình để đồng bộ thời gian với nhau và gửi phản hồi cho máy client. Cấp cao nhất của NTP là các máy chủ Stratum 0, là các đồng hồ nguyên tử có độ chính xác cực kỳ cao. Stratum 0 được kết nối tới các Stratum 1, các máy ở mức 1 sẽ tiếp tục cập nhật thời gian cho các máy Stratum 2…

2. Tấn công khuếch đại NTP là gì?

Là cuộc tấn công từ chối dịch vụ phân tán (DDos) , kỹ thuật này lợi dụng phương thức phản hồi gói tin của giao thức NTP ( Network Time Protocol) và khuếch tán lưu lượng lên gấp nhiều lần bằng giao thức UDP. Làm cho máy chủ victim và cơ sở hạ tầng xung quanh bị tê liệt, mất khả năng đáp ứng với các traffic bình thường.

3. Cách hoạt động của NTP Amplification Attack?

Bây giờ chúng ta đã hiểu các NTP server là gì, kỹ thuật tấn công NTP Amplification nghĩa là hacker/kẻ xấu sẽ lợi dụng các máy chủ bot để gửi các NTP request với spoofed IP ( IP giả mạo) trong gói tin lên các NTP server đang bật sẵn các monlist. Spoofed IP là các IP của máy chủ victim.

Khi NTP server nhận được request, nó sẽ vô tư tạo ra dữ liệu dựa theo thông tin được cấu hình và gửi toàn bộ thông tin đó cho IP victim ( Spoofed IP)

Để dễ hiểu thì mức độ khuếch đại của tấn công NTP như sau: khi bạn gửi 1 gói tin request 234B đi, thì gói tin trả về gồm 7 gói tin tổng kích thước khoảng 2100B, như vậy mức khuếch đại 2100/234 ~ 9 lần.

Máy chủ victim sẽ nhận lại phản hồi liên tục từ NTP server, điều này dẫn tới cơ sở hạ tầng mạng sẽ bị quá tải với lưu lượng truy cập, dẫn tới từ chối dịch vụ với các traffic bình thường của user.

Do lưu lượng máy chủ victim nhận trong giống như lưu lượng bình thường được gửi từ máy chủ NTP hợp lệ. Việc filter loại traffic này là rất khó. Bên cạnh đó giao thức UDP không yêu cầu bước xác thực 3 way hand-shake. Do vậy các máy chủ NTP sẽ thực hiện gửi các gói tin phản hồi luôn mà không cần xác thực yêu cầu đó hợp pháp hay không. Việc này dẫn tới các máy chủ NTP server sẽ là 1 nguồn khuếch đại phản xạ gói tin khổng lồ rất phù hợp cho các cuộc tấn công DDoS.

4. Có bao nhiêu máy chủ NTP Server trên thế giới?

Các máy chủ NTP server chạy giao thức ntpd sử dụng giao thức UDP, port 123. Ngoài cách dùng các tool scan để quét port 123 ra thì chúng ta có thể dụng trang web shodan.io để tìm các máy chủ dịch vụ NTP.

Tổng cộng hiện tại có hơn 5.6 triệu máy chủ NTP – một con số khổng lồ. Rất may các máy chủ đa số đều được update lên version mới hoặc được cấu hình để ngăn chặn kỹ thuật khuếch tán NTP Amplification nên bạn cũng đừng quá lo lắng về việc này. Chỉ 1 số ít máy chủ NTP còn chạy version cũ ( <4.2.7p26) có thể bị lợi dụng.

5. Cách ngăn chặn, giảm thiểu tấn công NTP Amplification

Trên máy chủ NTP server: vá lỗ hổng CVE-2013-5211 – hay còn gọi là Amplification Attack using ntpdc monlist command. Bằng việc cấu hình disable monlist hoặc update phiên bản lên >= 4.2.7p26 hoặc mới hơn sẽ ngăn chặn được lỗi này. Bên cạnh đó có thể cấu hình tường lửa chặn hết các IP không xác thực đang request monlist tới server NTP nội bộ.

Trên máy tính bình thường: sử dụng tường lửa để chặn hết các gói tin UDP có source port 123 kết nối tới máy tính. Tuy nhiên việc này chỉ giảm thiểu 1 phần nào đó, không mang tính triệt để. Do đó cần kết hợp các giải pháp filter layer 4 + 7 và các dịch vụ ẩn IP bên thứ 3, ddos proxy filter…

Chúc bạn thực hiện thành công!

THAM KHẢO CÁC DỊCH VỤ TẠI VINAHOST

>> SERVER – COLOCATION – CDN

>> CLOUD – VPS

>> HOSTING

>> EMAIL

>> WEBSITE

>> TÊN MIỀN

Đánh giá bài viết
Was this article helpful?
Đánh giá
Đánh giá bài viết
Đăng ký nhận tin

Để không bỏ sót bất kỳ tin tức hoặc chương trình khuyến mãi từ Vinahost

    Bài viết liên quan
    Bình luận
    Theo dõi
    Thông báo của
    guest
    0 Góp ý
    Cũ nhất
    Mới nhất Được bỏ phiếu nhiều nhất
    Phản hồi nội tuyến
    Xem tất cả bình luận