Pages

Translate

Saturday, June 14, 2014

Network Time Protocol (NTP) Amplification Attack အေၾကာင္းသိေကာင္းစရာ


Abstract

မၾကာေသးမီက၊ DNS Amplification Attack ႏွင့္ပတ္သက္ၿပီး Incident မ်ားနဲ႔ ၄င္းတို႔ရဲ႕ ေနာက္ကြယ္မွ နည္းပညာအေၾကာင္းမ်ားဟာ လူေျပာမ်ားေရပန္းစားခဲ့ပါသည္။ ယခုအခ်ိန္ လတ္တေလာ ပုိင္းတြင္ေတာ့ NTP Amplification Attack သည္ Internet Security နယ္ပယ္တြင္ သတိထားရမည့္ အေျခအေနတြင္ ေရာက္ရိွေန ပါသည္။

Network Time Protocol (NTP) Amplification Attack ဆိုသည္မွာ Attacker မ်ားသည္ Vulnerable NTP Server မ်ားဆီသို႔ UDP Traffic မ်ားေပးပို႔ျခင္းျဖင့္ Access မ်ားျပဳလုပ္ကာ DDoS ပံုစံမ်ဳိးျဖင့္ Attack လုပ္ျခင္း ျဖစ္ပါသည္။ Amplification Attack မ်ားေၾကာင္ ့Victim User မ်ားႏွင့္ Organization မ်ားသည္ ဆံုးရႈံးနစ္နာ မႈမ်ားႀကီးမားစြာျဖင့္ ႀကဳံေတြ႔ခံစားခဲ႔ၾကရပါသည္။

ပထမဦးစြာ NTP Server အေၾကာင္းႏွင့္ ၄င္းအားအသုံးျပဳရျခင္း၏ ရည္ရြယ္ခ်က္ကုိ တင္ျပပါမည္။ NTP Server မ်ားကုိ မိမိတို႔၏ Network အတြင္းရိွ Computer မ်ားႏွင္႔ Server မ်ားသည္ System Time ကို Synchronize ျဖစ္ေစရန္ အသံုးျပဳထားျခင္းျဖစ္ပါသည္။ သို႔မွသာ Network Administrator မ်ားအေနျဖင့္ မိမိ Network Infrastructure တြင္ အခ်ိန္တိက်မွန္ကန္စြာျဖင့္ Monitoring လုပ္ႏိုင္မွာျဖစ္ပါသည္။

NTP Server သည္ UDP Transport (Port no:123) ကုိအသုံးျပဳပါသည္။ Client မ်ားမွ NTP Server ဆီသို႔ “monlist” ဆိုသည့္ Command ျဖင့္ Query လုပ္ျခင္းျဖင့္ ၄င္း NTP Server ႏွင့္ Time Synchronize ျဖစ္ေစပါသည္။ ထိုသို႔ Synchronize လုပ္ျခင္းျဖင့္ UDP Packet မ်ားကုိ Request လုပ္ပါသည္။ ေအာက္ပါပုံတြင္ UDP Packet ကို Request လုပ္ျခင္းႏွင့္ Response ျပန္ျခင္းမ်ားကုိ ေတြ႔ရိွႏို္င္ပါသည္။



Figure 1: NTP Monlist Request and Response Packets

NSFOCUS Threat Response Center မွစာရင္းျပဳစုခ်က္အရ တစ္ကမၻာလုံးတြင္ NTP Amplification Attack မ်ားျဖစ္ေစႏိုင္ေသာ NTP Server အေရအတြက္သည္ (၄ သိန္း) ေက်ာ္ရိွေၾကာင္း ေအာက္ပါပုံျဖင့္ သိရပါသည္။



Figure 2: Worldwide Distribution of NTP Amplifiers

ေအာက္ပါပံုတြင္ Attacker မ်ားမွ မိမိတို႔၏ IP Address မ်ားကို Spoof/Fake လုပ္ၿပီး NTP Server ကို Monlist Request ေပးပို႔ျခင္းကို ေတြ႔ရိွႏိုင္ပါသည္။



Figure 3: Increase NTP Magnification by Sending Monlist Request with Spoofed Source IP Address

ထိုကဲ့သို႔ Attacker မ်ားသည္ Monlist Request မ်ားကို NTP Server သို႔ပို႔ျခင္းျဖင့္ DDoS ပုံစံ Amplification Attack မ်ားကို ျဖစ္ေစႏိုင္ပါသည္။

NTP Amplification Attack ကိုမည္သို႔ကာကြယ္မည္နည္း။
NTP Amplification Attack မ်ဳိးမွ မႀကဳံေတြ႔ရန္ Network Administrator မ်ားအေနျဖင့္ မိမိတို႔၏ NTP Server ကို ေနာက္ဆုံး NTP Software Version မ်ားအသုံးျပဳရပါမည္။ ထို႔အျပင္ NTP Server Configuration တြင္လည္း Client ဖက္မွ Query/Request လုပ္ျခင္းမ်ားကုိ Disabled (သို႔မဟုတ္) Restrict လုပ္ထားရပါမည္။ Client Query ဟုဆုိရာတြင္လည္း Local Query Only သာေပးထားသင့္ပါသည္။ “Monlist” ကို Disable လုပ္ရန္ “ntp.conf” File ထဲတြင္ ေအာက္ေဖာ္ျပပါအတိုင္း ထည့္သြင္းႏိုင္ပါသည္။

o restrict default kod nomodify notrap nopeer noquery

o restrict -6 default kod nomodify notrap nopeer noquery

NTP ရဲ႕ေနာက္ဆုံး Version ျဖစ္တဲ့ (4.2.7) တြင္ေတာ့ “Monlist” Function ကို Disable လုပ္ၿပီးသားျဖစ္ပါသည္။ ထုိသုိ႔အားျဖင့္ NTP Amplification Attack ကုိႀကိဳတင္ကာကြယ္ႏိုင္ပါသည္။

References: http://www.us-cert.gov/ncas/alerts/TA14-013A

http://nsfocusblog.com/2014/02/04/ntp-amplification-attacks-are-on-the-rise-part-1/#more-4451

http://nsfocusblog.com/2014/02/07/ntp-amplification-attacks-are-on-the-rise-part-2/#more-4468

0 comments:

Post a Comment