O que é NTP Amplification?
O ataque de amplificação NTP é um ataque DDoS baseado em reflexão amplificada que tira vantagem de um servidor Network Time Protocol (NTP) abertamente acessível que é executado em uma porta de tráfego UDP. A porta de tráfego UDP é de vulnerabilidade simples em um dispositivo, pois não vai através do processo de “handshake”, onde um remetente tem que estabelecer uma conexão com o destinatário antes de poder enviar dados, isso permite que os invasores alimentem o dispositivo alvo com quaisquer dados que desejarem, sem o conhecimento prévio do destinatário.
Em um ataque DDoS de amplificação NTP, o invasor canaliza uma quantidade amplificada de tráfego para um dispositivo ou servidor, tornando o computador alvo e suas estruturas envolvidas inacessíveis ao tráfego válido, o único objetivo de um ataque DoS.
Quais são as técnicas mais usadas em ataques de amplificação NTP:
- Explorando o comando NTP Monlist: Os invasores utilizam o comando NTP “monlist”, um recurso projetado para fornecer informações sobre clientes NTP recentes. Ao enviar uma solicitação maliciosa a um servidor NTP com um endereço IP de origem falsificado, os invasores enganam o servidor para que envie uma resposta grande ao endereço IP de destino, amplificando o tráfego do ataque.
- Falsificação de endereços IP de origem: Para mascarar a sua identidade e dificultar o rastreio da origem do ataque, os atacantes falsificam frequentemente os endereços IP de origem dos seus pedidos. Isto acrescenta outra camada de complexidade ao processo de mitigação, tornando mais difícil diferenciar o tráfego legítimo do tráfego de ataque.
- Utilizando botnets: Os ataques de amplificação NTP frequentemente dependem de botnets, redes de dispositivos comprometidos controlados por invasores. Ao orquestrar um grande número destes dispositivos, os atacantes podem amplificar a escala e o impacto dos seus ataques, dificultando a defesa e a mitigação do ataque de tráfego.
Como posso prevenir ataques de amplificação NTP:
- Desative a lista monástica: Monlist é uma vulnerabilidade que pode ser encontrada em um servidor NTP e que os hackers usam para conduzir ataques de amplificação NTP. Portanto, desabilitar o comando monlist é uma forma de interromper um ataque de amplificação NTP. Servidores NTP que usam software 4.2.7 e superior têm esse comando desabilitado automaticamente, para que não sejam tão vulneráveis a ataques de amplificação NTP.
- Verificação do IP de origem: Como os invasores usam endereços IP falsificados para sobrecarregar suas vítimas com tráfego UDP, rejeitar o tráfego interno de IPs falsificados é uma forma de impedi-los de fazer isso.
- Use ferramentas de proteção contra DDoS. Embora os ataques de amplificação NTP sejam um tipo de ataque DDoS, o uso de ferramentas ou software de proteção DDoS padrão ainda pode ajudar a evitá-los. Por exemplo, na GoCache você pode contar com segurança anti DDoS, permitindo mais segurança para suas aplicações.
Referências:
- https://medium.com/@michealtremendous/ntp-amplification-attack-what-is-it-and-how-to-mitigate-92392bd73bb4
- https://prophaze.com/learning/what-are-ntp-amplification-attacks/
- https://nordvpn.com/pt-br/cybersecurity/glossary/ntp-amplification-attack/