US-CERT warnt vor DDoS mit NTP-Verstärkung

Das US-CERT hat eine Warnung für Unternehmensanwender vor DDoS-Attacken in Form von gewaltigem UDP-Traffic veröffentlicht, der von öffentlichen Zeitservern ausgeht (NTP-Protokoll).

Die NTP-Server werden in diesem Fall als Vermittler zur Verstärkung des DDoS-Traffics eingesetzt – derartige Attacken, allerdings unter Verwendung von DNS-Resolvern, wurden im vergangenen Jahr mehrfach beobachtet. In diesem Fall stellen die Angreifer an den NTP-Server eine Anfrage auf Ausführung des Befehls MON_GETLIST, der normalerweise beim Profiling eines Netzes verwendet wird und geben als Absender die IP-Adresse ihres Opfers an. Als Antwort auf diese Anfrage versendet der Server eine Liste der IPs, die als letztes mit ihm kommuniziert haben, und eine solche Liste kann bis zu 600 Positionen umfassen. „Leider eröffnet das einfache NTP-Protokoll, das auf der Basis von UDP funktioniert, die Möglichkeit zur Verstärkung einer Attacke“, kommentiert John Graham-Cumming von CloudFlare. „Es antwortet auf ein Paket mit einer gefälschten IP-Absenderadresse; zudem sendet mindestens einer der integrierten Befehle eine lange Antwort auf eine kurze Anfrage. Das macht das Protokoll zu einem idealen DDoS-Tool.“

„Da die Quelle der Anfrage gefälscht wurde, wird die Antwort des NTP-Servers an die Adresse des Opfers gesendet“, heißt es aus dem US-CERT. „Da die Antwort gewöhnlich sehr viel länger als die Anfrage ist, können die Angreifer den gegen das Opfer gerichteten Traffic auf diese Weise extrem verstärken. Zudem enthalten die Antworten zulässige Daten, die von legalen Servern stammen, daher sind derartige Angriffe nur schwer zu blockieren.“

Um herauszufinden, in welchem Maße der DDoS-Traffic über NTP verstärkt wird, hat Graham-Cumming an einen Server eine Anfrage mit einer Länge von 234 Byte gestellt und eine Antwort von 4460 Byte Daten erhalten, die in 10 Pakete unterteilt war. „Der Verstärkungskoeffizient betrug 19“, resümiert der Forscher. „Und da die Antwort in mehreren Paketen verschickt wird, werden die Kanäle in diesem Fall sehr stark belastet und die Paketrate ist sehr hoch.“

„In meinem Fall sendete der NTP-Server nur 55 Adressen zurück, 6 in jedem Paket (das letzte war kürzer)“, fährt der Experte fort. „Ein gut ausgelasteter Server, der maximal 600 Adressen ausgibt, verschickt 100 Pakete mit einem Gesamtvolumen von über 48 К als Antwort auf eine Frage von nur 234 Byte. Das ist dann eine Verstärkung mit Faktor 206!”

Noch vor kurzem waren Attacken mit NTP-Verstärkung selten, Mitte Dezember allerdings registrierte Symantec eine deutliche Zunahme der Quellen solches Traffics. Ende letzten Jahres und Anfang Januar war eine Reihe populärer Game-Dienste NTP-Attacken ausgesetzt, wie etwa EA.com, Battle.net und League of Legends. Dabei betrug der Datendurchlauf in der Spitze 100 GB/Sek.

Wie die Experten zu Recht anmerken, gehört NTP leider zu den Protokollen, die einmal konfiguriert werden und dann für immer so bleiben (set-and-forget). Zudem wird dieser Service selten aktualisiert und öffnet dem Missbrauch daher Tür und Tor. Ein Cyberkrimineller kann problemlos hunderte angreifbare NTP-Server im Netz ausfindig machen, indem er ein fertiges Modul von Metasploit oder NMAP benutzt.

Um Missbrauch zu vermeiden, empfehlen die Experten NTP auf die Version 4.2.7p26 zu aktualisieren, in der die Unterstützung des Befehls monlist deaktiviert ist. Es ist auch möglich, die Ausführung dieses Befehls zu verbieten oder den externen Zugriff auf den Server einzuschränken. Für FreeBSD wurde bereits ein Patch für die entsprechende Sicherheitslücke veröffentlich (CVE-2013-5211). Auf der Website Open NTP Project, die kürzlich von den Aktivisten eingerichtet wurde, kann man Ressourcen auf das Vorhandensein unangenehmer Lücken überprüfen. Hier werden zudem aktuelle Informationen zu diesem Problem sowie Listen schlecht konfigurierter NTP-Server veröffentlicht, die eine Gefahr für die Sicherheit darstellen.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.