Skip to main content

DDoS-атака через Network Time Protocol

Каспер и его охотники за приведениями не так давно обратили внимание на то, что в последние несколько недель в Сети участились случаи DDoS-атак с использованием Network Time Protocol. На графике показан объем такого трафика в декабре 2013 года.






















Network Time Protocol (NTP) — сетевой протокол для синхронизации внутренних часов компьютера, использует для своей работы UDP и представляет собой один из старейших протоколов интернета. Работает на порту 123.
Атака через «отражение» предусматривает, что атакующий посылает относительно небольшой запрос к промежуточному узлу, который отвечает относительно большим ответом в адрес указанного хоста. Раньше атаки подобного типа осуществлялись через DNS-серверы, которые установлены у каждого интернет-провайдера. Обычно DNS-серверы настроены так, чтобы обрабатывать только запросы своих собственных пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что серверы принимают запросы от любого пользователя интернета. Атакующие направляют к открытым DNS-серверам поток DNS-запросов с IP-адресом жертвы, а сервер отвечает на указанный адрес. Чтобы максимально усилить трафик, нападающие составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне.
Атака через серверы NTP происходит схожим образом, но с использованием команды monlist. Она высылает в ответ список 600 хостов, которые последними подключались к серверу. Это даже эффективнее, чем DNS-серверы: маленький запрос может перенаправить на жертву мегабайты трафика.
Для защиты своего NTP-сервера от подобной атаки нужно установить NTP версии 4.2.7, в которой полностью удалена поддержка команды monlist.

Popular posts from this blog

Виртуальная сеть на базе Cisco CSR 1000V

Во время обучения, для того чтобы лучше разобраться как работает та или иная технология я пользовался и программой моделирования сетей DYNAGEN, и удаленным доступом к стенду с реальным оборудованием, любезно предоставленным нам организаторами обучения. Это, конечно же очень помогало, но меня все время не оставляла мысль найти какой-то вариант, который позволил бы иметь ощущение реальности при работе с устройством и в тоже время чтобы я мог его крутить так как мне захочется и в любое время, когда мне захочется. Я пробовал и GNS3, и IOU, при этом продолжая поиски. Так я узнал о таком продукте от CISCO как CSR 1000V Cloud Services Routerhttp://www.cisco.com/c/en/us/products/routers/cloud-services-router-1000v-series/index.html , скачать который можно в нашей подборке Cisco IOS. Небольшие выдержки из документации:
«Развернутый на виртуальной машине Cisco CSR 1000V с IOS XE обеспечивает точно такую же функциональность, как если бы IOS XE работала на традиционной аппаратной платформе Cis…

Проникновение в сеть оператора связи

Перво наперво стоит провести анализ идущего мимо сетевого трафика с помощью любого сетевого анализатора в "неразборчивом" режиме работы сетевой карты (promiscuous mode). В качестве сетевого анализатора для подобных целей замечательно подходит Wireshark или CommView. Чтобы выполнить этот этап, хватит и пары часов работы сетевого анализатора. По прошествии этого времени накопится достаточно данных для проведения анализа перехваченного трафика. И в первую очередь при его анализе следует обратить внимание на следующие протоколы: протоколы коммутации (STP, PVST+, CDP, DTP, VTP, и им подобные)протоколы маршрутизации (RIP, BGP, EIGRP, OSPF, IS-IS и другие)протоколы динамической конфигурации узла (DHCP, BOOTP)открытые протоколы (telnet, rlogin и подобные) Что касается открытых протоколов, – вероятность того, что они попадутся во время сбора пакетов проходящего мимо трафика в коммутируемой сети, достаточно мала. Однако, если такого трафика много, то в обследуемой сети явно наблюдаютс…

Инженер электросвязи майнил BitCoin на $ 9.000 в день

Исследователь безопасности Эдвард Сноуден, ранее работавший в компании Booz Allen Hamilton говорит, что он обнаружил ряд совершенных одним системным оператором Bell Canada неавторизованых транзакций Bitcoin.



Для генерации биткоинов инженер электросвязи скомпрометировал пулы. В свою очередь, участники пулов продолжали отдавать часть производительности своих компьютеров на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые им доходы доставались системному инженеру Bell Canada. Техника перенаправления обманывала участников для того, чтобы продолжать искать блок криптографических алгоритмов Bitcoin, позволяя сетевому оператору сохранить доходы на свой счёт. На пике своей деятельности, согласно подсчетам Сноудена, инженер электросвязи из Bell Canada перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin, и обналичивал их в сумме около $9 000 в день.

Сноуден считает, что сетевой инженер из Bell Canada применил стандартные команды управлени…