Баг в NTP позволил устроить несколько крупных DDoS-атак

DERP атакуэ

US-CERT опубликовал предупреждение о DDoS-атаках, использующих серверы синхронизации точного времени NTP для многократного усиления трафика. Для инициации атаки надо всего лишь отправить имитацию запроса на сервер (UDP-пакет с подставным обратным адресом), который отвечает лавиной сетевых пакетов в сторону предполагаемого источника запроса.

Обычно, такие атаки проводят с использованием необновляемых DNS-серверов, в которых похожие уязвимости известны давно, но на серверы не установлены обновления безопасности. В атаках 2014 года зафиксировано использование доступных NTP-серверов.

Для создания эффекта «усиления трафика» от имени жертвы на NTP-сервер отправляется запрос (UDP-пакет с подставным обратным IP-адресом) на выполнение команды MON_GETLIST («get monlist»), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате размер ответа, как правило, во много раз превышает исходный запрос (на загруженных серверах на запрос объемом 234 байт возвращается ответ объемом более 40 килобайт). Массовое «нестандартное использование функционала» (в общем-то, само по себе наличие такой функции не является уязвимостью) стало возможным потому команда MON_GETLIST выполняется серверами NTP без аутентификации.

Проблеме подвержены все версии ntpd до 4.2.7p25 включительно, в выпуске 4.2.7p26 поддержка команды monlist была отключена в конфигурационном файле.

Что характерно, проблема известна еще с 2010 года:

http://bugs.ntp.org/show_bug.cgi?id=1532

Использование этой техники приписывают хакерам из группы DERP Trolling. Они уже отличились тем, что недавно успешно атаковали игровые сервера League of Legends и EA.com. Программное обеспечение для массового использования уязвимости в NTP они назвали Gaben Laser Beam.
  • +1

  • 0

1 комментарий

dandelion_wine
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.