NTPサーバーの仕組みを見てみましょう。
NTPプロトコルは標準的なネットワーク時刻同期プロトコルで、階層的な時刻配信モデルを採用しています。ネットワークアーキテクチャには主にマスタータイムサーバー、スレーブタイムサーバー、クライアントが含まれます。マスタータイムサーバーはルートノードに配置され、高精度の時刻ソースとの同期と他のノードへの時刻サービスの提供を担当します。
大規模な企業ネットワークを例にとると、企業は独自のタイムサーバーをスレーブタイムサーバーとして構築し、マスタータイムサーバーからの時刻同期を担当し、企業のさまざまな業務システムへの時刻同期を担当します。時間同期の遅延を小さくするために、各国はマスタータイムサーバーとして、地理的なエリアに応じて多数のタイムサーバーを構築し、インターネット上のさまざまなビジネスシステムの時間同期要件を満たします。
ネットワーク情報技術の急速な発展に伴い、金融業、通信業、工業、鉄道運輸業、航空運輸業など、イーサネット技術への依存度が高まっています。様々なアプリケーションシステムは、WEBサーバ、認証サーバ、データベースサーバで構成される電子商取引サイトのように、異なるサーバで構成されています。 WEBアプリケーションが正常に動作するためには、WEBサーバ、認証サーバ、データベースサーバ間のクロック同期をリアルタイムで確保する必要があります。例えば、分散型クラウド・コンピューティング・システム、リアルタイム・バックアップ・システム、課金システム、ネットワーク・セキュリティ認証システム、さらには基本的なネットワーク管理などは、すべて正確な時刻同期に依存しています。
なぜ謎のNTPフラッドはハッカーに人気なのか?
NTPプロトコルはUDPプロトコルをベースにしたサーバ/クライアントモデルで、UDPプロトコルのコネクションレスという性質上、セキュリティ上の欠陥があります。ハッカーはNTPサーバーのセキュリティ上の脆弱性を悪用して、DDoS攻撃を仕掛けてきます。たった2ステップで、4~2回分の攻撃効果を簡単に得ることができます。
ステップ1:攻撃対象とネットワーク上のNTPサーバーリソースの両方を見つけます。
ステップ 2: 「ターゲット」の IP アドレスを偽装して、NTP サーバーにクロック同期要求メッセージを送信します。攻撃の強度を高めるために、要求メッセージは Monlist 要求メッセージに送信され、威力はさらに強力になります。NTP プロトコルには NTP サーバーを監視するための monlist 機能があり、NTP サーバーは monlist コマンドに応答して、時刻同期を実行した最後の 600 クライアントの IP アドレスを返します。NTPプロトコルにはNTPサーバーを監視するためのmonlist機能があり、NTPサーバーはmonlistコマンドに応答して、時刻同期を行った直近の600クライアントのIPアドレスを返します。応答パケットは6IPごとに分割され、1つのNTP monlistリクエストで最大100個の応答パケットが形成されます。実験室でのシミュレーションテストによると、リクエストパケットのサイズが234バイトの場合、各レスポンスパケットは482バイトになります!
わはははは~~~攻撃の効果は明らかで、攻撃対象はすぐにサービス拒否現象が現れ、さらに悪いことにネットワーク全体が混雑します。
リフレクションクラスの攻撃の最大の特徴を要約すると、攻撃の効果を増幅するために、プロトコルの抜け穴の様々なを使用して、小さな、大きな、4つまたは2つですが、すべての変更は同じではありません、限り、攻撃は "7インチ "をつまんでいるように、あなたは根本的に攻撃を抑制することができます。リフレクション攻撃の「7インチ」とは、そのトラフィックの異常のことです。これは、保護システムは、異常なトラフィックを検出することができるようにする必要があり、異常を見つけるだけでは十分ではありません、保護システムはまた、この単純な攻撃に耐えるのに十分な性能を持っている必要があります、私たちは、攻撃は現在、多くの場合、最初から100Gであることを知っている必要があります保護システムは、Gの保護能力のない数百がある場合は、発見された、唯一の目を乾燥させることができます。
ファーウェイのアンチDDoSシステムは、積極的に数十の多次元トラフィックモデルを構築し、トラフィックの異常を最初に検出します。また、最大数百ギガバイトの保護機能は、既知の最大規模のトラフィック攻撃に対処するのに十分です。
