Американская Группа быстрого реагирования на компьютерные инциденты (US-CERT) опубликовала алерт, предупреждая корпоративных пользователей о DDoS-атаках в виде мощного UDP-трафика, исходящего с публичных серверов точного времени (протокола NTP).

NTP-серверы в данном случае используются как посредники для усиления DDoS-трафика — подобные атаки, но с использованием DNS-резолверов неоднократно наблюдались в минувшем году. В данном случае атакующие подают на NTP-сервер запрос на выполнение команды MON_GETLIST, обычно используемой при профилировании сети, и в качестве отправителя подставляют IP-адрес мишени. В ответ на этот запрос сервер высылает список последних IP, с которых к нему обращались; такой список может содержать до 600 позиций. «К сожалению, простой NTP-протокол, работающий на базе UDP, создает возможность для усиления атаки, — комментирует Джон Грэм-Камминг (Graham-Cumming) из компании CloudFlare. — Он допускает отклик на пакеты с подложным IP-адресом источника; более того, выполнение как минимум одной из встроенных команд возвращает длинный ответ на короткий запрос. Это превращает его в идеального пособника DDoS-атаки».

«Вследствие подмены источника запроса ответ NTP-сервера направляется на адрес жертвы, — вторит эксперту US-CERT. — Поскольку ответ по размеру обычно значительно превышает запрос, атакующему удается увеличить объем трафика, направленного на жертву. Более того, эти ответы содержат допустимые данные, исходящие с легальных серверов, поэтому такие атаки трудно пресечь».

Чтобы выявить степень усиления DDoS-трафика через NTP, Грэм-Камминг подал на сервер запрос длиной 234 байта и в ответ получил 4460 байт данных, разбитых на 10 пакетов. «Коэффициент усиления составил 19, — подводит итог исследователь. — А поскольку ответ предполагает отсылку множества пакетов, атака в данном случае создаст большую нагрузку на каналы, и скорость передачи пакетов будет высокой».

«В моем случае NTP-сервер вернул лишь 55 адресов, по 6 в каждом пакете (последний был коротким), — продолжает эксперт. — Хорошо загруженный сервер, выдающий максимум 600 адресов, отправит 100 пакетов общим объемом более 48 Кб в ответ на запрос весом всего лишь 234 байта. Это уже 206-кратное усиление!»

До недавних пор атаки с NTP-плечом были редки, однако в середине декабря Symantec зафиксировала заметный рост числа источников такого трафика. В конце года и начале января NTP-атакам подвергся ряд популярных игровых сервисов, таких как EA.com, Battle.net и League of Legends. При этом мощность мусорного потока на пике составила 100 Гб/с.

К сожалению, NTP, как справедливо отмечают эксперты, — это один из тех протоколов, которые обычно настраиваются один раз и на все времена (set-and-forget — «настроить и забыть»). Кроме того, этот сервис редко обновляется и в силу всех этих причин открыт для абьюзов. Злоумышленник может легко отыскать сотни уязвимых NTP-серверов в Сети, используя готовый модуль Metasploit или NMAP.

Во избежание злоупотреблений эксперты рекомендуют обновить NTP до версии 4.2.7p26, в которой поддержка команды monlist отключена. Можно также запретить выполнение этой команды или ограничить внешний доступ к сервису. Кстати, для FreeBSD уже выпущен патч для данной уязвимости (CVE-2013-5211). Проверить ресурс на наличие неприятной бреши можно на сайте Open NTP Project, недавно запущенном активистами. Здесь также публикуется актуальная информация по данной проблеме и ведутся списки плохо сконфигурированных NTP-серверов, представляющих угрозу безопасности.

Категории: DoS-атаки, Главное, Уязвимости