Sunteți pe pagina 1din 10

ATACUL DE TIP NTP REFLECTION

Cuprins

1.FUNDAMENTE TEORETICE........................................................................................ 3
1.1 Serviciul NTP.................................................................................................. 3
1.2. Atacul de tip Reflection............................................................................... 3
1.3. Atacul de tip Amplification..........................................................................4
1.4. Atacul de tip DoS........................................................................................... 4
2. DESCRIEREA ATACULUI DE TIP NTP REFLECTION..................................................5
2.1. Descrierea atacului........................................................................................ 5
2.2. Impactul atacurilor NTP Reflection.................................................................7
3. MOD DE IMPLEMENTARE (UNELTE I CONFIGURAII)............................................8
3.1. Producerea atacului....................................................................................... 8
4. MECANISME DE PROTECIE..................................................................................9

2
1. FUNDAMENTE TEORETICE

1.1 Serviciul NTP


Network Time Protocol(NTP) este un serviciu de reea pentru sincronizarea ceasurilor
interne a sistemelor computerizate, ntre reele de date de laten variabil i transmisie prin
pachete. Este unul dintre cele mai vechi protocoale aflate nc n folosin . NTP a fost proiectat
de ctre David L. Mills la Universitatea din Delaware [1].

Serviciul NTP este destinat pentru sincronizarea tutror sistemelor computerizate,


participante n transmisia de date prin Internet, la Timpul Universal Coordonat (UTC).
Acurateea obinut poate fi meninut de regul sub o milisecund n reelele local, n condiii
ideale. Rutele asimetrice i congestia reelei pot cauza erori de pn la 100 milisecunde sau mai
mult [1]. Necesitatea sincronizrii ceasurilor interne ale sistemelor apare n contextul n care
commutarea de pe un sistem la altul produce modificri n timp prin salturi de nainte sau napoi.
Prin conectarea la Internet, acest efect devine vizibil (ex: primirea unui e-mail la 5 minute dup
ce a fost trimis sau chiar primirea unui rspuns la acesta cu dou minute nainte de a fi trimis).[2]

n principiu, protocolul este descris sub forma unui model client-server, dar poate la fel
de bine fi prezentat sub forma unei relaii de tip peer-to-peer unde ambele pri o consider pe
cealalt ca fiind un potenial candidat pentru sincronizare a ceasului. Implementrile protocolului
trimit i primesc timestamp-uri folosind protocoul UDP (User Datagram Protocol) pe portul 123.
De asemenea se pot transmite mesaje de tip broadcast sau multicast, unde clienii asculta pasiv
pentru actualizri ale timpului dup un tur iniial de calibrare [1].

Versiunea curent a protocolului este NTPv4 care reprezint un standar propus i


documentat n RFC 5905 i care este compatibil n sens opus cu versiunea 3, specificat n RFC
1305 [1].

Unul dintre atacurile la care este predispus acest protocol este NTP Reflection Attack
care, n esen, este un atac reflectat de tip DDoS prin care se trimite o cerere mic din punct de
vedere la mrimii i se primete un rspuns amplificat, ntr-un raport de pn la 200:1 sau chiar
mai mare ntre rspuns i cerere. n continuare sunt descrise caracteristicile acestui tip de atac.

1.2. Atacul de tip Reflection.


n securitatea calculatoarelor, un atac de tip reflection reprezint o modalitate de a ataca
un sistem de autentificare bazat pe challenge-response, care folosete acelai protocol n ambele
direcii de comunicare (acelai protocol este folosit pentru autentificarea fiecrei pr i

3
comunicante [3]. Esena atacului const n nelarea victimei de a oferi un rspuns pentru
propriul ei challenge. Paii generali ai atacului constau n [3]:

a. Iniierea unei conexiuni spre victim de ctre atacator;


b. Victima ncearc s autentifice atacatorul prin trimiterea unui challenge;
c. Atacatorul iniiaz o nou conexiune ctre victim i trimite ctre aceasta challenge-
ul primit anterior ca fiind din partea sa;
d. Victima primete challenge-ul retrimis i trimite rspuns;
e. Atacatorul preia rspunsul i l retrimite ctre victim prin conexiunea original;

n acel moment, dac protocolul de autentificare nu este proiectat cu atenie, victima va


accepta rspunsul ca fiind unul valid, oferind astfel atacatorului un canal autentificat de
comunicare ctre aceasta.

1.3. Atacul de tip Amplification.


Atacurile de amplificare sunt folosite pentru a mri drastic ocuparea limii de band
trimis ctre victim. De regul, acest tip de atac este realizat prin intermediul serverelor DNS
accesibile folosite pentru a cauza congestionarea traficului ctre int, utiliznd traficul de
rspuns al DNS-ului. SNMP i NTP pot fi de asemenea exploatate ca i reflectori n atacuri de
amplificare [4].

Procesul implic de regul un atacator ce trimite o cerere falsificat ctre server, folosind
ca adres IP surs adresa victimei, obinut anterior prin spoofing. Ideea const n cererea a ct
mai multor informaii mrirea dimensiunii rspunsului ce va fi trimis de server ctre victim. Din
moment ce cererea este semnificativ mult mai mica dect raspunsul, atacatorul folosete puine
resurse alocate, n timp ce cantitatea de trafic trimis ctre victim este mrit dramatic. Pentru o
amplificare i mai mare, de regul sunt folosii boi de reea care trimit n paralel cereri cu
aceeai adres IP surs a victimei, ceea ce duce la o cantitate masiv de date trimise ctre victim
[4].

Este foarte dificil de a te apra mpotriva acestor tipuri de atacuri deoarece rspunsul
provinde de la servere legitime. De asemenea, cererile trimise de atacator sunt transmise prin
protocolul UDP, ceea ce rezult n neverificarea adresei IP surs n momentul primirii cererii de
ctre server.

1.4. Atacul de tip DoS.


Un atac de tip Denial-of-Service (DoS) este un atac n care atacatorul ncearc s fac o
staie sau o resurs din reea indisponibil pentru utilizatorii si legitimi, prin scindarea
temporar sau pe timp nedeterminat a serviciilor hostului conectat la internet. Atacul DoS este de
regul obinut prin inundarea staiei sau resursei din reea cu date transmise, n ncercarea de a
suprancrca sistemul i a preveni unele sau toate cererile legitime de a fi ndeplinite. Prin
analogie, un atac DoS este asemntor unui grup de oameni care se nghesuie la intrarea intr-un

4
magazin i care nu las staff-ul acestuia s intre i s ii desfoare activitile normale pentru
funcionarea magazinului [4]. intele atacurilor sunt n principiu site-uri sau servicii deinute de
bnci, pentru pli online, online shopping, etc.

Atacurile de tip DoS sunt mprite n dou categorii generale: atacuri de inundare a
serviciilor i atacuri de cdere a serviciilor. Cele mai grave atacuri de acest tip sunt cele
distribuite (trimiterea datelor de la un numr mare de surse) i implic falsificarea adreselor surs
care trimit cererile ctre serviciu [4].

2. DESCRIEREA ATACULUI DE TIP NTP REFLECTION.

Un atac de tip NTP Reflection este o form n curs de apariie a unui atac DDoS care se
bazeaz pe folosirea serverelor NTP accesibile public pentru copleirea unui sistem victim prin
intermediul traficului UDP [5].

Servicul NTP suport un serviciu de monitorizare care le ofer administratorilor


posibilitatea de a interoga serverul i obine date cu privire la traficul generat de clienii
conectai. Aceste informaii sunt puse la dispoziie prin comanda monlist a serviciului NTP.
Tehnica de baza a atacului const n trimiterea unui request prin intermediul comenzii monlist,
ctre un server NTP vulnerabil, care conine n dreptul adresei IP surs adresa IP a unei victime
obinut prin spoofing. n acest mod, serverul NTP trimite rspunsul ctre victim, nu napoi
ctre atacator. Deoarece dimensiunea rspunsului este semnificativ mult mai mare dect cea a
cererii, atacatorul este capabil s amplifice volumul de trafic directat ctre victim [5].

Vulnerabilitatea serverului NTP, descris n dicionarul CVE (Common Vulnerabilities


and Exposures) n cadrul nregistrrii CVE-2013-5211, const n setarea implicit a comenzii
monlist pentru permiterea execuiei sale, pe device-urile NTP mai vechi. Comanda permite
trimiterea unui rspuns ce conine ultimele 600 adrese IP care s-au conectat la serverul NTP [5].

2.1. Descrierea atacului


Un atac de tip reflection devine posibil n momentul n care atacatorul poate trimite un
pachet pe reea cu un antet falsificat cu IP-ul surs al victimei. Atacatorul trimite astfel pachetul
n numele victimei ctre un server aleator din Internet care va trimite imediat un rspuns.
Deoarece IP-ul surs din pachetul primit este cel al victimei alese de atacator, serverul va trimite
rspunsul ctre victim. n acest mod sursa real a pachetului trimis i, implicit, a atacatorului
rmne necunoscut, iar atacul poate fi amplificat. Atacul devine cu att mai sever atunci cnd
atacatorul trimite pachete falsificate ce solicit un rspuns de dimensiuni mari de la server [6][7].
Atacul de tip NTP Reflection poate face ca o cantitate mica a limii de band folosit de atacator

5
pentru a trimite cererile s genereze o lime de band uria pentru posibilitatea trimiterii
rspunsurilor.

n forma de baz a unui atac NTP, atacatorul trimite n mod repetat requesturi prin
comanda monlist ctre un server NTP, cu adresa IP surs a victimei alese. Serverul NTP rspunde
trimind lista cu ultimele 600 adrese IP conectate la el ctre victim. Rspunsul este n mod
considerabil mult mai mare dect cererea trimis, amplificnd astfel traficul directat ctre int i
ducnd n final la degradarea serviciului pentru cererile legitime [7].

Fig. 1 : Anatomia unui atac NTP Reflection


(sursa:
https://www.arbornetworks.com/images/documents/infographics/NTPReflection_Final.pdf)

Atacurile de tip reflection sunt periculoase n sine. Dar devin i mai periculoase n
momentul n care sunt amplificate. Amplificarea const n trimitrea rspunsului disproporionat
fa de cerere, iar n cazul atacului NTP Reflection/Amplification, se refer la dimensiunea
rspunsului monlist raportat la dimensiunea pachetului original de cerere. n scenariul tipic, rata
cerere/rspuns este cuprins undeva ntre 20:1 i 200:1 sau chiar mai mult. Acest lucru nseamn
c, dac un atacator care controleaz o main capabil s trimit un trafic de cereri de 1 Gbps,

6
atunci el poate efectiv s redirecteze un trafic cuprins ntre 20-200 Gbps de rspunsuri ctre
victima aleas. Astfel, orice persoan care obine o list de servere NTP valabile (prin
intermediul unui tool precum Metasploit sau date oficiale din cadrul Open NTP Project) poate
genera cu uurin un atac devastator pentru suprancrcarea sistemului int i prevenirea
ndeplinirii de ctre acesta a cererilor legitime [7].

2.2. Impactul atacurilor NTP Reflection


Atacurile de tip NTP Reflection/Amplification au nceput s apar spre sfr itul anului
2013 cnd, n luna octombrie, un numr de atacuri au fost lansate mpotriva serviciilor de
gaming online pentru a sista evenimente ale gaming-ului profesionist i pentru interferarea cu
lansarea unor noi produse din domeniu. Acest lucru a fost observat de ctre zeci de milioane de
gameri i a fost reportat de ctre media[6].

Ubicuitatea protocolului l face pe acesta un vector excelent pentru executarea atacurilor


de tip amplification/DDoS. NTP a fost implementat n toate sistemele de operare majore, n
infrastructura reelelor i in device-urile de tip embedded. Exista peste o sut de mii de servere
NTP ce pot fi abuzate n realizarea acestui atac, cu funcii administrative accesibile n mod
incorect din Internet. Rata de amplificare este undeva aproape de un raport 1000:1. Mai mult de
att, tool-uri pentru implementarea atacului sunt uor de obinut, disponibile tuturor, ceea ce duce
la obinerea i executarea facil a atacurilor [6].

Unul din cele mai mari atacuri de tip NTP/Amplification a fost identificat de ctre
CloudFlare, prin care s-a obinut un trafic tinit asupra reelei interne a companiei de aproximativ
400 Gbps. n executarea tacului au fost folosite 4529 de servere NTP din 1298 de reele diferite.
n medie, fiecare dintre aceste servere a trimis un trafic de 87 Mbps ctre victima aflat n
reeaua CloudFlare. Un fapt remarcabil l constituie faptul c este foarte plauzibil ca atacatorul s
fi folosit numai un singur server care funciona n reea pentru a permite ini ierea cererilor pe
baza adresei IP surs obinut prin spoofing. Prin comparaie, un atac DDoS care a avut drept
int organizaia Spamhaus a folosit 30956 de servere DNS (de aproximativ 7 ori mai mare decat
cel folosit n atacul prin intermediul NTP) pentru generarea unui trafic de 300 Gbps, cu 33% mai
mic dect atacul asupra CloudFlare [8][9].

Compania Atlas a nregistrat de asemenea alte atacuri de tip NTP Reflection, cel mai
mare culminnd la generearea unui trafic de 325 Gbps, n 2014. Un numr de 5 atacuri au fost
peste pragul de 200 Gbps. Au mai fost nregistrate 39 de atacuri de peste 100Gbps n 2013,
pentru ca n 2014 numrul acestora sa creasc la 159, o cretere de 4 ori a numrului anterior [6].

7
3. MOD DE IMPLEMENTARE (UNELTE I CONFIGURAII)

3.1. Producerea atacului


NTP, ca i DNS, este un protocol bazat de UDP fiind predispus la atacuri de amplificare
deoarece va rspunde la un pachet cu o adres IP surs fals i deoarece conine comenzi
construite s trimit un rspuns lung la o solicitare scurt, permi nd un raport maxim de
amplificare de 1:200 [6].

IP spoofing este actul de falsificare a coninutului din antetul IP surs, de obicei, cu


numere randomizate, fie pentru a masca identitatea expeditorului sau pentru a lansa un atac
DDoS reflectat. IP spoofing este o caracteristic implicit n cele mai multe kituri malware i
script-uri de atac de tip DDoS, ceea ce face ca IP spoofing s fie cel mai folosit procedeu n
atacurile DDoS.

NTP suport un serviciu de monitorizare care permite administratorilor s interogheze


server-ul pentru contorizarea traficului de clieni conectai. Aceste informaii sunt furnizate prin
comanda "monlist". Tehnica de baz pentru atac const n trimiterea unei solicitri "get monlist"
de ctre atacator ctre un server NTP vulnerabil, cu adres IP surs falsificat n adresa IP a
victimei. Un exemplu n acest sens ar fi [11][12]:

Ntpdc -n -c monlist x.x.x.x

Aceast comand determin o list a ultimelor 600 de adrese IP (host-uri) care au fost
conectate la serverul NTP, urmand s fie trimise la victim. Un exemplu de ce returneaza aceasta
comanda este:

8
Deoarece dimensiunea rspunsului este de obicei mult mai mare dect cererea, atacatorul
este capabil s amplifice volumul de trafic direcionat ctre victim. Astfel nct orice atacator
poate lua o list de servere NTP deschise i de a efectua acest atac. O simpl cutare pe Google
pentru serverele NTP deschise v poate arta ct de uor se pot localiza aceste servere. n acela i
timp, utilitarul NMAP are un modul de detectare a serverelor NTP care au disponibil comanda
monlist. Atacurile reflectate DDoS bazate pe UDP sunt o problema comuna cu care se lupta
securitatea unei retele. Aceasta este o comand NMAP la ndemn, care va scana o list int
pentru sistemele cu serviciile UDP deschise, care permit aceste atacuri s aib loc.

4. MECANISME DE PROTECIE

Deoarece toate versiunile de ntpd anterioare 4.2.7 sunt vulnerabile n mod implicit, cel
mai simplu mod de aciune recomandat este de a actualiza toate versiunile de ntpd care sunt
accesibile la cel puin 4.2.7. Cu toate acestea, n cazurile n care nu este posibil s face i upgrade
la versiunea serviciului, este posibil s dezactivai funcionalitatea de monitorizare n versiunile
mai vechi ale software-ului, n fiierul de configurare ntp.conf [12].

Pentru a dezactiva funcionalitatea "monlist" pe un server public de NTP, care nu poate fi


actualizat la varsiunea 4.2.7, se adaug directiva "noquery" la linia "restrict default" n fi ierul
etc/ntp.conf al sistemului, aa cum se arat mai jos:

restrict default kod nomodify notrap nopeer noquery


restrict -6 default kod nomodify notrap nopeer noquery

Ar trebui prevenite pachetele de L3 cu firewall, pachetele care provin de la serverele NTP


sau rspunsuri "monlist", prin verificarea coninutului acestora cu IPS prin gateway-ul de
securitate.

9
Bibliografie

[1] https://en.wikipedia.org/wiki/Network_Time_Protocol
[2] http://www.ntp.org/ntpfaq/NTP-s-def.htm
[3] https://en.wikipedia.org/wiki/Reflection_attack
[4] https://en.wikipedia.org/wiki/Denial-of-service_attack
[5] https://www.us-cert.gov/ncas/alerts/TA14-013A
[6] https://www.arbornetworks.com/blog/insight/the-danger-of-the-latest-ntp-
attacks/
[7] https://www.incapsula.com/ddos/attack-glossary/ntp-amplification.html
[8] https://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-
attacks/
[9] https://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-
amplification-ddos-attack/
[10 http://www.harppddos.com/ntp-reflection-attacks/
]
[11 http://www.team-cymru.org/secure-ntp-template.html
]
[12 http://therandomsecurityguy.com/ntp-reflection-attacks/
]

10