Prolexic/Akamai 已就这一发展发布了高度警惕的威胁咨询警告。它指出,使用当前的一批 NTP 放大攻击工具包,恶意行为者可以通过利用几个易受攻击的 NTP 服务器发起 100 Gbps 或更大的攻击。在最近的峰值期间,平均峰值 DDoS 攻击带宽增加了 217.97%。
Akamai 高级副总裁兼安全总经理 Stuart Scholly 在一份声明中说:“在 2 月份,我们看到针对我们客户群的 NTP 放大攻击的使用激增了 371% 。 ” “事实上,今年我们在网络上看到的最大攻击都是 NTP 放大攻击。”
与过去两年最大的攻击不同,本案中的 NTP 放大攻击并不针对任何特定领域。2 月份NTP 放大攻击的目标行业包括金融、游戏、电子商务、互联网和电信、媒体、教育、软件即服务 (SaaS) 提供商和安全。
该公司指出,由于新的 DDoS 工具包的出现,这种攻击方法今年大受欢迎,这些工具包可以很容易地针对在线目标生成高带宽、大容量的 DDoS 攻击。
在 Prolexic Security Engineering & Response Team (PLXsert) 实验室环境中,模拟 NTP 放大攻击产生了 300 倍以上的攻击带宽和 50 倍攻击量的放大响应,是一种极其危险的攻击方式。
该技术利用 NTP 服务器用 UDP 流量淹没受害系统。连接到互联网的机器使用 NTP 来准确设置时钟。例如,Mac 电脑上的时钟配置实际上是苹果公司运行的 NTP 服务器的地址。NTP 很普遍,不仅被台式机使用,而且各种连接的设备都使用它来同步它们的时钟。
NTP 服务器还支持监控服务,允许管理员向服务器查询已连接客户端的流量计数。查询是使用“monlist”命令完成的,该命令实际上算作漏洞 (CVE-2013-5211)。默认情况下,在支持 NTP 的旧设备上启用 NTP 的 monlist 功能。
基本攻击向量包括攻击者向易受攻击的 NTP 服务器发送“get monlist”请求。该命令导致返回连接到 NTP 服务器的最后 600 个 IP 地址的列表。在 NTP 放大攻击中,源地址被伪装成不知情的受害者的地址,然后受害者会收到该列表。几个查询很容易从结果中获取足够的流量,从而使受害者的资源不堪重负。
“由于响应的大小通常比请求大得多,因此攻击者能够放大针对受害者的流量,”US-CERT 在去年发布的有关此类攻击的警报中解释道。“此外,由于响应是来自有效服务器的合法数据,因此阻止这些类型的攻击尤其困难。”
尽管随着 IT 管理员在像这样的攻击高峰之后修复机器,易受攻击的服务器的数量正在减少,但只需要几个系统就可以发起大规模攻击。Prolexic 指出,许多新的 DDoS 攻击工具包使恶意行为者更容易使用少数服务器发起攻击。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
