- 10 Tem 2021
- 1,064
- 6
- 649
- 43
NTP amplifikasyon saldırısı nedir?
NTP yükseltme saldırısı, bir saldırganın hedeflenen bir ağı veya sunucuyu yükseltilmiş miktarda UDP trafiğine boğmak için bir Ağ Zaman Protokolü (NTP) sunucu işlevselliğinden yararlandığı yansıma tabanlı hacimsel dağıtılmış hizmet reddi (DDoS) saldırısıdır. Hedefi ve çevresindeki altyapıyı düzenli trafiğe erişilemez hale getirmek.
NTP amplifikasyon saldırısı nasıl çalışır?
Tüm yükseltme saldırıları, bir saldırgan ile hedeflenen web kaynağı arasındaki bant genişliği maliyetindeki eşitsizliği kullanır. Birçok istek arasında maliyet farkı büyüdüğünde, ortaya çıkan trafik hacmi ağ altyapısını bozabilir. Kötü niyetli kullanıcı, büyük yanıtlarla sonuçlanan küçük sorgular göndererek, daha azıyla daha fazlasını elde edebilir. Bir botnet teki her bir botun benzer isteklerde bulunmasını sağlayarak bu büyütmeyi çoğaltırken, saldırgan hem tespit edilmekten şaşırır hem de büyük ölçüde artan saldırı trafiğinin faydalarından yararlanır.
DNS sel saldırıları, DNS yükseltme saldırılarından farklıdır. DNS taşkınlarından farklı olarak, DNS yükseltme saldırıları, saldırının kaynağını gizlemek ve etkinliğini artırmak için güvenli olmayan DNS sunucularından gelen trafiği yansıtır ve artırır. DNS yükseltme saldırıları, güvenli olmayan DNS sunucularına çok sayıda istekte bulunmak için daha küçük bant genişliği bağlantılarına sahip cihazları kullanır. Cihazlar, çok büyük DNS kayıtları için birçok küçük istekte bulunur, ancak istekleri yaparken, saldırgan, dönüş adresini hedeflenen kurbanın adresi olarak değiştirir. Yükseltme, saldırganın yalnızca sınırlı saldırı kaynaklarıyla daha büyük hedefleri yok etmesine olanak tanır.
Ağ Zaman Protokolü, internete bağlı cihazların dahili saatlerini senkronize etmelerini sağlamak için tasarlanmıştır ve internet mimarisinde önemli bir işleve hizmet eder. Saldırgan, bazı NTP sunucularında etkinleştirilen monlist komutundan yararlanarak, ilk istek trafiğini çoğaltarak büyük bir yanıt verebilir. Bu komut, eski cihazlarda varsayılan olarak etkindir ve NTP sunucusuna yapılan isteklerin son 600 kaynak IP adresiyle yanıt verir. Belleğinde 600 adres bulunan bir sunucudan gelen monlist isteği, ilk istekten 206 kat daha büyük olacaktır. Bu, 1 GB internet trafiğine sahip bir saldırganın 200'den fazla gigabayt saldırı gerçekleştirebileceği anlamına gelir.
Saldırgan, sahte IP adreslerine sahip UDP paketlerini monlist komutunun etkinleştirildiği bir NTP sunucusuna göndermek için bir botnet kullanır. Her paketteki sahte IP adresi, kurbanın gerçek IP adresini gösterir.
Her UDP paketi, monlist komutunu kullanarak NTP sunucusuna bir istekte bulunur ve bu da büyük bir yanıtla sonuçlanır. Sunucu daha sonra elde edilen verilerle sahte adrese yanıt verir.
Hedefin IP adresi yanıtı alır ve çevresindeki ağ altyapısı, trafik akışıyla boğulur ve hizmet reddine neden olur.
Geçerli sunuculardan gelen meşru trafik gibi görünen saldırı trafiğinin bir sonucu olarak, bu tür saldırı trafiğini, gerçek NTP sunucularını meşru faaliyetlerden engellemeden azaltmak zordur. UDP paketleri el sıkışma gerektirmediğinden, NTP sunucusu, isteğin gerçek olduğunu doğrulamadan hedeflenen sunucuya büyük yanıtlar gönderir. Bu gerçekler, varsayılan olarak büyük bir yanıt gönderen yerleşik bir komutla birleştiğinde, NTP sunucularını DDoS yükseltme saldırıları için mükemmel bir yansıma kaynağı haline getirir.
Bir NTP amplifikasyon saldırısı nasıl hafifletilir?
Bir web sitesi veya hizmeti işleten bir kişi veya şirket için azaltma seçenekleri sınırlıdır. Bu, bireyin sunucusunun hedef olsa da, hacimsel bir saldırının ana etkisinin hissedildiği yer olmaması gerçeğinden kaynaklanmaktadır. Üretilen yüksek miktarda trafik nedeniyle, sunucuyu çevreleyen altyapı etkiyi hissediyor. İnternet Servis Sağlayıcısı (ISS) veya diğer yukarı akış altyapı sağlayıcıları, gelen trafiği bunalmadan idare edemeyebilir. Sonuç olarak, ISS, hedeflenen kurbanın IP adresine giden tüm trafiği karadeleyebilir, kendisini korur ve hedefin sitesini çevrimdışına alır. Azaltma stratejileri, Cloudflare DDoS koruması gibi tesis dışı koruyucu hizmetlerin yanı sıra çoğunlukla önleyici internet altyapısı çözümleridir.
Monlist'i devre dışı bırak - monlist komutunu destekleyen NTP sunucularının sayısını azaltın.
Monlist güvenlik açığını düzeltmenin basit bir çözümü, komutu devre dışı bırakmaktır. NTP yazılımının 4.2.7 sürümünden önceki tüm sürümleri varsayılan olarak savunmasızdır. Bir NTP sunucusunu 4.2.7 veya üzeri bir sürüme yükselterek, komut devre dışı bırakılır ve güvenlik açığı yamalanır.
Saldırganın botnet'i tarafından gönderilen UDP isteklerinin kurbanın IP adresine sahte bir kaynak IP adresine sahip olması gerektiğinden, UDP tabanlı yükseltme saldırılarının etkinliğini azaltmanın önemli bir bileşeni, internet servis sağlayıcılarının (ISS'ler) herhangi bir dahili trafiği sahte IP adresleri. Ağın içinden, ağ dışından geliyormuş gibi görünmesini sağlayan bir kaynak adrese sahip bir paket gönderiliyorsa, büyük olasılıkla sahte bir pakettir ve bırakılabilir. Cloudflare, tüm sağlayıcıların giriş filtreleme uygulamasını şiddetle tavsiye eder ve zaman zaman farkında olmadan DDoS saldırılarında yer alan (BCP38'i ihlal eden) İSS'lere ulaşarak güvenlik açıklarını fark etmelerine yardımcı olur.
NTP sunucularında monlist'in devre dışı bırakılması ve şu anda IP sahtekarlığına izin veren ağlarda giriş filtrelemesinin uygulanmasının birleşimi, bu tür saldırıları amaçlanan ağa ulaşmadan durdurmanın etkili bir yoludur.
Cloudflare, NTP yükseltme saldırılarını nasıl azaltır?
Düzgün yapılandırılmış bir güvenlik duvarı ve yeterli ağ kapasitesi ile (Cloudflare boyutunda olmadığınız sürece bu her zaman kolay değildir), NTP yükseltme saldırıları gibi yansıma saldırılarını engellemek önemsizdir. Saldırı tek bir IP adresini hedefleyecek olsa da, Anycast ağımız tüm saldırı trafiğini artık kesintiye uğratmayacak noktaya dağıtacaktır. Cloudflare, saldırının ağırlığını birçok Veri Merkezine dağıtmak için ölçek avantajımızı kullanabilir, yükü dengeleyerek hizmetin asla kesintiye uğramamasını ve saldırının asla hedeflenen sunucunun altyapısını alt etmemesini sağlar.
NTP Amplification Saldırısı Bu Şekilde yapılır.
Shodan kullanılarak sürümlü NTP sunucularının gösterimi yapılabilir
NTPDoser adında bir NTP amplification saldırısı gerçekleştiren DDoS aracını GitHub - DrizzleRisk/NTPDoser: NTP Doser is a NTP Amplification DoS/DDoS attack tool for penttesting Burdan İndirebilirsiniz.
NTPDoser aracı Clone or Download butonuna tıkladıktan sonra gelen Download ZIP butonuna tıklanarak indirilebilir.
Linux ortamında, bu dosyayı indirmek için git clone GitHub - DrizzleRisk/NTPDoser: NTP Doser is a NTP Amplification DoS/DDoS attack tool for penttesting yazılır.
gcc NTPDoser.cpp -o NTPDoser -lstdc++ -pthread” komutunun çalıştırılması ile NTPDoser.cpp dosyası derlenerek NTPDoser çalıştırılabilir dosyası oluşturulur.
Oluşturulan NTPDoser aracı ile NTP amplification saldırısı yapılmıştır. “./NTPDoser [hedef_IP] [thread_sayısı] [saldırı_süresi]” komutu çalıştırılarak saldırı gerçekleştirilebilir. “./NTPDoser 104.18.40.10 3 10” komutu ile 104.18.40.10 IP adresine yönelik NTP amplification saldırısı 3 farklı thread’den 10 saniye içerisinde yapılmaktadır.
Değerli Yorumlarınız için Teşekkürler. Her Biriniz Seviliyorsunuz. Allahın Rahmet ve Bereketi üzerinize olması Dileklerimle. Selamlarımı Sunarım.