16.01.14 10:28 Uhr
 932
 

USA: NTP-Protokoll wird zum Angriff von Servern genutzt

Wie sich jetzt herausstellte, existiert eine Lücke im NTP-Protokoll, die zum Angriff auf Server benutzt wird.

Offenbar wird hierzu eine DOS-Attacke durchgeführt, um Traffic zu erzeugen, welcher über die NTP-Server geleitet und somit verstärkt wird. Hierzu wird eine Sicherheitslücke im NTP-Protokoll genutzt.

Diese sorgt dafür, dass der durch die DOS-Attacke erzeugte Verkehr noch deutlich stärker zunimmt. Mit solchen Attacken soll sogar das Battle.net von Blizzard unter Beschuss genommen worden sein, welche mit Datenmengen von 100 Gigabit pro Sekunde überflutet wurden.


Videoplayer auf dieser Seite ausblenden
WebReporter: Higharcher
Rubrik:   High Tech
Schlagworte: Angriff, Server, Protokoll
Quelle: threatpost.com

DAS KÖNNTE DICH AUCH INTERESSIEREN

Russland: Politiker fordern Verbot von "Fifa 17"-Game wegen Regenbogen-Trikots
Soziale Netzwerke wollen gemeinsam Terrorpropaganda aufspüren
Datenschutzbehörden testeten: Mängel bei Wearables mit Gesundheitsfunktionen

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

5 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
16.01.2014 10:45 Uhr von SN_Spitfire
 
+1 | -2
 
ANZEIGEN
Klick auf die Quelle und dann:
"Sorry, but the page you´re looking for does not exist"

Super Newsverfasser! Hast meine volle Missachtung!
Kommentar ansehen
16.01.2014 10:56 Uhr von Xerces
 
+0 | -2
 
ANZEIGEN
@SN_Spitfire:

Der Link funktioniert. Deine Reaktion ist also eindeutig zu heftig.

Allerdings ist die Zusammenfassung kritikwürdig. Das Problem mit der Implementierung des Protokolls (nicht des NTPs an sich) ist, dass man via "spoofing", also der Angabe eines falschen Absenders, den Server dazu bringen mit einer Antwort auf einen weiteren Server zu reagieren. Diese Antwort ist vom Volumen her (lt. Quelle) bis zu 19 mal größer, als die Anfrage.

Damit ist NTP für eine DDOS-Attacker geeignet, da eine Vervielfachung des Volumens stattfindet.

Die Lösung scheint einfach. Laß Spoofing nicht zu und antworte nur dem Sender des Requests.
Kommentar ansehen
16.01.2014 11:31 Uhr von nween
 
+0 | -0
 
ANZEIGEN
Also soweit ich das verstanden hab, ist das Spoofing schwer zu unterbinden weil einfach die IP-Adresse im Anfragepaket ausgetauscht wird. Ausserdem bringt es dem Angreifer den Vorteil das der "Originating Traffic" immer über den Server eines dritten geleitet (und so die Herkunft verschleiert) und bis zum Faktor 206 aufgeblasen wird (abhängig von der Zahl der zu bedienenden Clients) was schon ziemlich brenzlich für das Ziel werden kann.

Ich zitiere:

over 48k in response to just 234 bytes.
Kommentar ansehen
16.01.2014 12:13 Uhr von Xerces
 
+1 | -0
 
ANZEIGEN
@nwenn:

Ich kenne das Protokoll nicht im Detail. Aber das hier hört sich so an, dass eigentlich an den Sender geantwortet werden soll.

“Due to the spoofed source address, when the NTP server sends the response it is sent instead to the victim"

Lösung scheint ja einfach. Da NTP für Zeitabfragen genutzt wird, kann man die Funktion für Statistiken mon_getlist einfach abschalten.

"To mitigate these attacks, US-CERT advises disabling the monlist or upgrade to NTP version 4.2.7, which also disables monlist."
Kommentar ansehen
16.01.2014 12:24 Uhr von nween
 
+1 | -0
 
ANZEIGEN
Die entsprechenden Adressen werden nicht vom NTP-Protokoll gemanaged sondern in dem Fall von IP. Dem Sender muss in dem Fall geantwortet werden weil die Destination-Adresse ja der NTP-Server ist. Probleme gibt es halt nur dann wenn die IP-Header verfälscht werden und die Source-Adresse (Sender) ausgetauscht wird. Die Lösung ist dann aber tatsächlich einfacher als ich dachte :D

Refresh |<-- <-   1-5/5   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

herzzerreißender Werbespot aus Polen rührt alle zu Tränen
Deutsche lieben Kindersex!
Israel bekommt Rüffel aus den USA


...oder unseren und keine aktuellen News mehr verpassen?