Categorias: Segurança

O que é NTP Amplification?

O ataque de amplificação NTP é um ataque DDoS baseado em reflexão amplificada que tira vantagem de um servidor Network Time Protocol (NTP) abertamente acessível que é executado em uma porta de tráfego UDP. A porta de tráfego UDP é de vulnerabilidade simples em um dispositivo, pois não vai através do processo de “handshake”, onde um remetente tem que estabelecer uma conexão com o destinatário antes de poder enviar dados, isso permite que os invasores alimentem o dispositivo alvo com quaisquer dados que desejarem, sem o conhecimento prévio do destinatário.

Em um ataque DDoS de amplificação NTP, o invasor canaliza uma quantidade amplificada de tráfego para um dispositivo ou servidor, tornando o computador alvo e suas estruturas envolvidas inacessíveis ao tráfego válido, o único objetivo de um ataque DoS.

Quais são as técnicas mais usadas em ataques de amplificação NTP:

  • Explorando o comando NTP Monlist: Os invasores utilizam o comando NTP “monlist”, um recurso projetado para fornecer informações sobre clientes NTP recentes. Ao enviar uma solicitação maliciosa a um servidor NTP com um endereço IP de origem falsificado, os invasores enganam o servidor para que envie uma resposta grande ao endereço IP de destino, amplificando o tráfego do ataque.
  • Falsificação de endereços IP de origem: Para mascarar a sua identidade e dificultar o rastreio da origem do ataque, os atacantes falsificam frequentemente os endereços IP de origem dos seus pedidos. Isto acrescenta outra camada de complexidade ao processo de mitigação, tornando mais difícil diferenciar o tráfego legítimo do tráfego de ataque.
  • Utilizando botnets: Os ataques de amplificação NTP frequentemente dependem de botnets, redes de dispositivos comprometidos controlados por invasores. Ao orquestrar um grande número destes dispositivos, os atacantes podem amplificar a escala e o impacto dos seus ataques, dificultando a defesa e a mitigação do ataque de tráfego.

Como posso prevenir ataques de amplificação NTP:

  • Desative a lista monástica:  Monlist é uma vulnerabilidade que pode ser encontrada em um servidor NTP e que os hackers usam para conduzir ataques de amplificação NTP. Portanto, desabilitar o comando monlist é uma forma de interromper um ataque de amplificação NTP. Servidores NTP que usam software 4.2.7 e superior têm esse comando desabilitado automaticamente, para que não sejam tão vulneráveis a ataques de amplificação NTP.
  • Verificação do IP de origem: Como os invasores usam endereços IP falsificados para sobrecarregar suas vítimas com tráfego UDP, rejeitar o tráfego interno de IPs falsificados é uma forma de impedi-los de fazer isso.
  • Use ferramentas de proteção contra DDoS. Embora os ataques de amplificação NTP sejam um tipo de ataque DDoS, o uso de ferramentas ou software de proteção DDoS padrão ainda pode ajudar a evitá-los. Por exemplo, na GoCache você pode contar com segurança anti DDoS, permitindo mais segurança para suas aplicações.

Referências: 

  • https://medium.com/@michealtremendous/ntp-amplification-attack-what-is-it-and-how-to-mitigate-92392bd73bb4
  • https://prophaze.com/learning/what-are-ntp-amplification-attacks/
  • https://nordvpn.com/pt-br/cybersecurity/glossary/ntp-amplification-attack/
Carlos Eduardo

Share
Publicado por
Carlos Eduardo

Publicações recentes

Como Reduzir Custos em um Cenário de Alta do Dólar

A gestão de custos é um dos maiores desafios enfrentados pelas empresas, especialmente quando esses…

4 meses atrás

Ameaças Comuns de Segurança para Startups

As startups, impulsionadas por inovação e agilidade, navegam em um cenário digital vibrante, mas também…

6 meses atrás

A Importância da Segurança Cibernética em Startups

A segurança cibernética é crucial para startups, independentemente do seu tamanho ou setor de atuação.…

7 meses atrás

O que é Gerenciamento de Vulnerabilidades?

O gerenciamento de vulnerabilidades é o processo de identificar, avaliar, tratar e relatar vulnerabilidades de…

8 meses atrás

DNS Cache Poisoning: Entendendo a ameaça cibernética e suas consequências

O DNS Cache Poisoning, ou envenenamento de cache DNS, é uma forma de ataque cibernético…

8 meses atrás

DNS Hijacking: Entendendo a Ameaça

O DNS hijacking é um ataque malicioso que envolve a alteração das configurações de DNS…

8 meses atrás