Artiklar‎ > ‎

Protokoll som nyttjas för tillgänglighetsattacker (DRDoS)

skickad 28 apr. 2014 22:51 av Lennart Engvall   [ uppdaterad 28 apr. 2014 22:52 ]
Av: Mattias Björlin

Under 2013 och i början av 2014 såg vi en stor användning av öppna Network Time Protocol (NTP)-servrar, d.v.s. NTP-servrar tillgängliga över Internet, som användes för tillgänglighetsattacker, så kallade Distributed Denial of Service (DDoS) attacker.


Tidigare användes ofta öppna Domain Name System (DNS)-servrar för att genomföra storskaliga DDoS-attacker eller som dem i dessa fall kallas, Distributed Reflective Denial of Service (DRDoS). I DRDoS-attacker ställer en angripare massor av DNS-förfrågningar och har förfalskat (eng. spoofed) avsändaradressen till offrets IP-adress, med andra ord kommer DNS-servrarna skicka alla sina svar till offret. En lyckad attack gör så att offret inte kan hantera den stora mängd data som kommer som svar från de olika DNS-servrarna och går ner som följd.

Om vi går tillbaka till NTP, så har DRDoS-attackerna att göra med att NTP-protokollet stödjer MONLIST kommandot. MONLIST kommandot returnerar en lista på de sista 600 IP-adresser som sist gjorde en förfrågan till NTP-servern. Med andra ord kan en angripare ställa en förfrågan till NTP-servern där svaret blir 206 gånger större än förfrågan. Genom att

förfalska avsändaradressen och ställa förfrågan till många NTP-servrar som lider av sårbarheten, kommer angriparen kunna slå ut sitt offer när NTP-servrarna skickar sina svar till offret.

 

Du kan lätt själv testa om din NTP-server[1] kan nyttjas för en DRDoS-attack:

 

$ ntpdc -c monlist <IP-adress på NTP-servern>

 

Börjar NTP-servern skicka tillbaka en lista med IP-adresser som har ställt förfrågningar till NTP-servern, så är NTP-server sårbar. Om er verksamhet använder en NTP-server som är nåbar på det publika Internet så är det viktigt att det har uppgraderats till minst version 4.2.7p26 eller snare, för mer information se, ”CVE-2013-5211”. Alternativt stänga av möjligheten att ställa MONLIST förfrågningar, genom att i "/etc/ntp.conf" konfigurera ”disable monitor”.

 

DNS och NTP är alltså protokoll som kan nyttjas för att genomföra storskaliga DRDoS-attacker, då en angripare med små förfrågningar kan skapa stora trafikmängder som svar, där avsändaradressen är förfalskad och satt till offret som mottagare.

 

Ett annat protokoll som också kan nyttjas för DRDoS-attacker är Simple Network Management Protocol (SNMP) protokollet. SNMP är ett standardiserat protokoll för hantering och managering av enheter i ett IP-nätverk. Ofta används SNMP i övervakningssyfte för att kontrollera att enheter i ett IP-nätverk fungerar som det är avsett och övervakaren kan ställa kontrollfrågor, t.ex. hur mycket trafik har skickats på ett visst nätverkskort eller vilken temperatur har processorn? SNMP finns i flera versioner, vanligaste förekommande är v1, v2c och v3. Problemet med SNMP v1 och v2c som är väldigt vanliga, är att de nyttjar svaga autentiseringsuppgifter, samt att all trafik skicka i klartext. Med andra ord kan trafiken lätt avlyssnas eller angripas med råstyrkeattacker (eng. brute force).

 

Du kan själv genomföra en kontroll av svaga autentiseringsuppgifter i SNMP, genom en råstyrkeattack, där en ordlista (i detta fall kallad ”1000-worst-passwords.txt”) prövar olika tänkbara kombinationer av autentiseringsuppgifter. Använd t.ex. programmet Hyra[2], med följande parametrar, se nedan, för att avslöja om era SNMP-servrar har svaga autentiseringsuppgifter:

 

$ hydra <IP-adress SNMP-server> snmp -P /tmp/Wordlist/1000-worst-passwords.txt -f -e ns -t 10 -V

 

Fås svaret ”[161] [snmp] host: <IP-adress> login: password: <svagt lösenord>” som svar har Hydra lyckats ”knäcka” autentiseringsuppgifterna. Lämpligast är att försöka mitigera till SNMP v3, samt ha ett lång och komplex ”community-string” för SNMP-förfrågningar.

 

Om en angripare har möjlighet att ställa SNMP-förfrågningar pga. svaga autentiseringsuppgifter, kan angriparen ställa SNMP GetBulk-förfrågningar och förfalska avsändaradressen. Detta resulterar i att en större mängd data skickas som svar till offret. Återigen har en DRDoS-attack kunnat genomföras.



[1] Förutsättningen är att NTP-servern är nåbar från ett publikt nät, så som Internet.

[2] THC-Hydra (Network logon cracker): https://www.thc.org/thc-hydra/

Comments