2014年2月11日,CloudFlare透漏其客户遭受400G的NTP Flood攻击,刷新历史DDoS攻击的流量峰值外,使得NTP Flood攻击备受业界关注。其实自从黑客组织DERP使用了NTP发起反射攻击后,2014新年内的第一周,NTP反射攻击占了DoS攻击流量的69%,整个NTP攻击的平均大小为约每秒7.3G bps,比2013年12月观察到的平均攻击流量高3倍。
下面让我们看看NTP 服务器的原理。
NTP协议(network time protocol)是标准的网络时间同步协议,它采用层次化时间分布模型。网络体系结构主要包括主时间服务器、从时间服务器和客户机。主时间服务器位于根节点,负责与高精度时间源进行同步,为其他节点提供时间服务;各客户端由从时间服务器经主服务器获得时间同步。
以一个大企业网为例,企业搭建自身的时间服务器,作为从时间服务器,负责从主时间服务器同步时间,然后再负责将时间同步给企业的各业务系统。为确保时间同步延迟小,每个国家按地域搭建为数众多的时间服务器,作为主时间服务器,满足互联网各业务系统的时间同步需求。
随着网络信息化的高速发展,包括金融业,电信业,工业,铁路运输,航空运输业等各行各业对于以太网技术的依赖日益增强。各式各样的应用系统由不同的服务器组成,如电子商务网站由WEB服务器、认证服务器和数据库服务器组成,WEB应用要正常运行,必须实时确保WEB服务器、认证服务器和数据库服务器之间的时钟同步。再比如分布式的云计算系统、实时备份系统、计费系统、网络的安全认证系统甚至基础的网络管理,都强依赖于精确的时间同步。
神秘的NTP Flood为什么如此受黑客的青睐呢?
NTP协议是基于UDP协议的服务器/客户端模型,由于UDP协议的无连接性(不像TCP具有三次握手过程)具有天然的不安全性缺陷。黑客正式利用NTP服务器的不安全性漏洞发起DDoS攻击。只需2步,即可轻松实现四两拨千斤的攻击效果。
第一步:寻找目标,包括攻击对象和网络上的NTP服务器资源。
第二步:伪造要“攻击对象”的IP地址向NTP服务器发送请求时钟同步请求报文,为了增加攻击强度,发送的请求报文为Monlist请求报文,威力则更猛。NTP协议包含一个monlist功能,用于监控 NTP 服务器,NTP 服务器响应monlist指令后就会返回与其进行过时间同步的最近 600 个客户端的IP地址。响应包按照每6个IP进行分割,最多一个NTP monlist请求会形成100 个响应包,具有强的放大的能力。实验室模拟测试显示,当请求包的大小为234字节时,每个响应包为 482 字节,单纯按照这个数据,计算出放大的倍数是:482*100/234 = 206倍!
哇哈哈~~~攻击效果很明显,被攻击目标很快出现拒绝服务现象,更有甚者整个网络拥塞。
自从黑客组织DERP发现NTP发起反射攻击效果后,便在在2013年12月底上演了针对包括EA、暴雪等大型游戏公司的一系列DDoS攻击事件中,使用了NTP反射攻击。看起神秘的NTP反射攻击,其实并不神秘,与DNS反射攻击具有异曲同工之效,都是利用UDP协议的不安全漏洞,利用开放的服务器发起的,不同的是NTP威胁性更强,因为每个数据中心服务器都需要时钟同步,无法通过协议、端口的过滤来进行防护。
总结起来反射类攻击最大的特点,就是以小博大,四两拨千斤,利用各种协议漏洞来放大攻击效果,但万变不离其宗,只要捏住攻击的“七寸”,就能从根本上遏制攻击。而反射攻击的“七寸”就是它的流量异常。这就需要防护系统能够及时发现流量的异常,而发现异常还远远不够,防护系统还要有足够的性能来抵御这种简单粗暴攻击,要知道现在的攻击动辄都是100G起了,防护系统要是没个几百G的防护能力,就是发现了,也只能干瞪眼。
华为Anti-DDoS系统会主动建立数十种多种维度流量模型,第一时间发现流量异常,同时高达数百G的防护能力,足以应对已知的最大流量攻击。