Selamun Aleyküm Arkadaşlar, bu konumda NTP ve ayrıca 2014'ten beri moda olan NTP üzerinden yapılan DDoS ataklarının mantığından, nasıl çalıştığından bahsedeceğim.
NTP nedir ?
NTP Network Time Protocolün kısaltmasıdır. Türkçesi Ağ Zaman Protokolü' dür. Basitçe açıklayacak olursak cihazlarımızdaki saatlerin bilgisini aldığımız servistir. Cihazlarımızı eşzamanlayarak oluşabilecek zaman kayması problemlerini de düzeltebilmeyi sağlar. NTP default olarak UDP/123 numaralı portu kullanır. Kullanılan en eski protokollerden biridir.İhtiyaç duyulacaksa NTP servisinin konfigürasyon dosyaları ya /etc/ntp.conf ya da /etc/xntp.conf* olarak bulunur.
NTP mantığı nasıl işler?
Servisin bize kesin zamanı aktarabilmesi için bir reference clocka ihtiyacı vardır. Peki reference clock nedir? Referans saat, ulaşabileceği maksimum kesinlikle zamanı ölçen aşırı hassas ve pahalı saatlerdir. Referans saatler saati ölçer ve NTP servisleri zaman bilgisini dağıtır. Şu an kesinliğine en çok güvendiğimiz referans saati sezyum saatidir. Sezyum atomunun atomik boyutlardaki hareketlerinden faydalanılarak ölçüm yapılır, kesinliğine oldukça güvenilir ve hatta oluşabilecek hata payının bile öngörülüp buna göre hatanın giderilebileceği söylenir. Daha ucuz bir yöntem olarak GPS(Global Positioning System) kullanılmaktadır. GPSin çalışma mantığı ise uydularda bulunan sezyum saatleriyle alınmış maksimum kesinlikteki zaman bilgisini uyduların yaptığı broadcast yayın ile alınıp uyduların bulundukları konumları kullanarak GPS alıcısının bulunduğu konumdaki kesin zamanı hesaplamaktan ibarettir.
Reference clocktan biz kullanıcılara gelene kadar zaman bilgisi uzun aşamalardan geçer referans saatten uzaklaştııkça zamanın kesilnliği azalır. Bu yüzden NTP hizmeti veren serverlara kesinliklerine göre isimler verilir. Referans saatler maksimum kesinlikte zaman bilgisi sağladığı için stratum 0 olarak adlandırılırlar ve stratum sayısı kullanıcılara yaklaştıkça büyür. Stratum 1ler en kesin zamana sahip NTP sunucularıdır çünkü referans saatlerden direkt olarak bilgiyi alırlar ve diğer sunuculara (stratum 2) dağıtırlar. Onlar gerekirse diğer sunuculara dağıtır ve zaman bilgisi bize ulaşana kadar uzun bir yol izler ve her adımda stratum sayısı artar. Stratum ise kelime olarak senkronizasyon uzaklığı olarak tanımlanabilir.
NTP saldırıları nasıl gerçekleştirilir?(mantığı)
NTP servisine saati sorduktan sonra aldığımız paketin büyüklüğü gönderdiğimiz istek paketininden oldukça fazladır ve bu çalışma prensibinden faydalalanılarak Ddos saldırıları gerçekleştirilir. Saldırmak istediğimiz ip adresini taklit ederek NTP servisine saati sorduğumuzda cevap misli ile geri döner. NTP servisi normalde her sorana saati söylemeyecek şekilde ayarlanır fakat servisi standart ayarlarla kuran sistem yöneticileri sayesinde şu an dünyada her sorana saati söyleyen milyonlarca NTP servisi bulunuyor. Bu tip yani büyük boyutta cevap oluşturularak ve oluşan cevabı hedef sisteme yönlendirilerek yapılan saldırılara amplification saldırıları denir. Genellikle handshake yapılmayan UDP ve ICMP protokolleri kullanılır.
NTP Amplification DDoS saldırıları nasıl gerçekleştirilir?
NTP de dahil olmak üzere herhangi bir amplification saldırısı düzenleyebilmek için 3 temel şeye ihtiyacımız var.
1- Kaynak ip adresinin değiştirilmesi (IP Spoofing)
2- Paket yolladığımız sistemin istekten büyük cevap üretmesi
3- Büyük cevaplar üretebilecek sistemlerin listesi
Ayrıca NTP sunucuları, kendilerine daha önce sorgu yapan ip adreslerini belleklerinde tutar ve bunu bir nmap scripti ile öğrenebilmemize olanak tanır. Ihtiyacımız olan script monlistdir. Nmapin ntp monlist scripti kullanılarak bir ağdaki monlist özelliği aktif olan NTP sunucuları tespit edilebilir veya istediğimiz sunucunun belleğinde bulunan daha önce sorgu yapmış ip adreslerini bulabilirz.
Konunun faydalı olduğu anlaşılırsa bir sonraki konumda:
-nmap monlist scriptinin kullanımı
-NTP servisi üzerinden DDoS saldırısı nasıl yapılır ?
dan bahsetmeyi düşünüyorum. Yorumlarınızı esirgemeyin.
Saygılarımla
Herkese iyi forumlar