97.000 farlige tids-servere på nettet hjælper stadig DDoS-angreb

Illustration: Virrage Images/Bigstock
Selvom ni ud af ti sårbare NTP-servere på nettet er blevet ændret, så de ikke kan bruges til at forstærke DDoS-angreb, er der stadig mindst 97.000 sårbare tids-servere. Det er rigeligt til at skabe voldsomme DDoS-angreb.

Det er blevet meget bedre - men slet ikke godt nok.

Sådan lyder statusmeldingen fra NTP-fronten fra Network Time Foundation, som har kørt en kampagne for at få patchet internettets mange tids-servere, så de ikke længere kan bruges til at forstærke DDoS-angreb. Det skriver BBC.

Organisationen vurderer, at der var 1,6 millioner sårbare NTP-servere på nettet, da hackere opdagede fidusen og begyndte at bruge en gammel funktion i disse tids-servere til at forstærke deres DDoS-angreb. Nu er langt de fleste blevet patchet, men det efterlader stadig mindst 97.000 tids-servere, der kan bruges af hackerne.

Læs også: Eksplosion i antallet af NTP-relaterede DDoS-angreb

De såkaldte NTP-reflekterende angreb udnytter en simpel funktion i serverne, hvor man ved at sende sin IP-adresse kan få et svar retur med alle IP-adresser, der er forbundet. Men da hackere kan forfalske afsender-adressen til deres offers adresse, kan de ved at sende én IP-adresse afsted få forstærket trafikken med en faktor 500. Det gør det nemt for hackere at skabe meget voldsomme DDoS-angreb, selvom de ikke selv råder over enorme botnet til at sende datapakker afsted.

Læs også: Skræmmende simpel teknik får NTP-servere til at gå DDoS-amok

Ifølge sikkerhedsfirmaet Arbor skal hackerne bruge mellem 5.000 og 7.000 sårbare NTP-servere for at skabe et overvældende DDoS-angreb, med hundredevis af gigabyte i sekundet. Det er nok til at lægge selv godt beskyttede websider ned.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Troels Arvin

Det er tvivlsomt hvor stor skade, som en NTP-server kan gøre på lokalnetværket. Men under alle omstændigheder kan det være godt at vide, hvilke NTP-kapable enheder man égentlig har på lokalnetværket og hvor snakkende de er.

Det kan tage ret lang tid at scanne sig frem til på seriel vis. Derfor har jeg skrevet dette her, som kan scanne et /16 netværk på 3-4 minutter: http://troels.arvin.dk/code/parallel_ntp_scan/

  • 4
  • 0
#2 Michael Kjems

Jeg antager at man mener 97.000 servere der kan nås ude fra det almindelige net, for ellers kan man vel hverken finde eller misbruge dem.

I mit krøllede sind opstår ideen om at lave et script, der spiller dem ud imod hinanden, sådan at de sender data imellem sig til de går i knæ (og derfor ikke kan misbruges mere) eller administrator bliver opmærksom på problemet og fikser NTP-serveren.

  • 4
  • 2
#4 Einar Petersen

lad dem stege i eget fedt?

Og hvis så to fly brager sammen, reaktoren smelter ned, aktiemarkedet kollapser med økonomisk krise som følge fordi at tids transaktioner ikke kunne registreres korrekt og noget derfor går galt programmelt set eller f.eks. dine pengetransaktioner ikke registreres og forsinkes med bod imod dig til følge... synes du stadig det er en god ide at lege DOS/DDOS ??? Nej Vel... Det kan være ret så kritiske ting der benytter NTP services.

De fleste admins klar over og har dersom muligt mitigeret for Monlist / reflection attacks på forskellig vis. Jeg går stærkt ud fra at revisions firmaerne rundt omkring i det ganske land har travlt med at sørge for at dem de reviderer er obs på problematikken.

Det bedste du kan gøre som den whitehat du forhåbentlig udvikler dig til er, at gøre ejerene af sårbare NTP servere klar over at de har et problem i stedet for at forværre problematikken og skabe nye uforudsete potentielt katastrofale konsekvenser for dig selv og andre.

  • 0
  • 1
#5 Einar Petersen

Du kan ikke lave regler for den slags, der er tale om at benytte en feature i en gammel protokol. Der er tale om en slags DDOS/Reflection angreb - Dette er allerede dækket af loven.

Det er ulovligt at udføre, vi siger jo heller ikke at du må ikke slå ihjel med en sten, en saks, en kuglepen, en mursten en... etc. mord er forbudt (midlet er sekundært).

Der kan være grunde til at NTP servere kører med den gamle NTP protokol som er sårbar. Naturligvis uhensigtsmæssigt at de kører men det gør de måske nu engang.

Lad nu være med at give politikkerene gode ideer til at lovgive om noget de overhovedet ikke har forstand på og som ikke umiddelbart behøver at reguleres af love og regler, der er allerede stor observans på angrebs metodikken i administrator kredse og gør som nævnte kommend whitehat ovenfor og gør opmærksom på problematikken overfor ejerene af serverene.

  • 1
  • 0
#7 Deleted User

Og hvis så to fly brager sammen, reaktoren smelter ned, aktiemarkedet kollapser med økonomisk krise som følge fordi at tids transaktioner ikke kunne registreres korrekt og noget derfor går galt programmelt set eller f.eks. dine pengetransaktioner ikke registreres og forsinkes med bod imod dig til følge... synes du stadig det er en god ide at lege DOS/DDOS ??? Nej Vel... Det kan være ret så kritiske ting der benytter NTP services.

Ingen virkelige kritiske systemer bør være afhængige af om de kan komme i kontakt med en server på nettet. Det udsagn er selvfølgelig ikke en garanti for at det ikke forholder sig sådan for enkelte idioters systemer, men i det konkrete tilfælde er det svært at forestille sig hvad det er der vil gå galt. De få systemer rundt omkring i verden hvor eksakt tid virkelig er vigtigt har alle en lokal synkronisering, hvis det virkelig gælder kan man ikke forlade sig på en ekstern NTP server. Hvis atomreaktorer nedsmeltede på grund af forkert tid i en computer så ville ulykkerne være sket for længst.

Den potentielle skade disse servere kan forårsage gennem DDOS-angreb er i alle tilfælde langt større end hvad der vil ske hvis de fjernes.

  • 0
  • 1
#8 Einar Petersen

Rolig nu Jacob - Det var nu mest for at male fanden på væggen og så opfordre Michael til at lade være med at hoppe med på Reflection Attack vognen og begynde at forsøge at få NTP servere til at bekrige hinanden selv om det ville være spændende at se et script der kunne gøre det... as a matter of principle og så man kunne mitigere imod det også... der skal jo være arbejde til IT folket fremover ;)

  • 1
  • 1
#9 Deleted User

Ja, du maler fanden på væggen, fuldstændig uden grund. Og negligerer samtidig en reel trussel.

Det optimale ville selvfølgelig være at politiet i de respektive lande konfiskerer samtlige 97000 servere, men eftersom det næppe sker må truslen fjernes på anden vis. Det er ikke en pæn måde at gøre det på, men det virker. Har du et bedre forslag til hvordan problemet løses?

  • 0
  • 2
#10 Baldur Norddahl

Det bedste du kan gøre som den whitehat du forhåbentlig udvikler dig til er, at gøre ejerene af sårbare NTP servere klar over at de har et problem i stedet for at forværre problematikken og skabe nye uforudsete potentielt katastrofale konsekvenser for dig selv og andre.

Det er blevet foreslået før på store konferencer. Det er ikke lovligt, men det kunne lukke for problemet på en eftermiddag.

Der er naturligvis forlængst blevet skrevet til diverse abuse mail adresser for alle disse NTP servere. Ejerne er ligeglade. Men dermed er de også medskyldige i de angreb, som koster enorme summer at bekæmpe. De vil ikke være ligeglade hvis de selv bliver mål for selvsamme angreb som de deltager i.

Alle de skræklige ting du skriver om, det er hvad der er konsekvensen af at disse servere får lov til at køre videre upatchede.

  • 1
  • 0
#11 Johnnie Hougaard Nielsen

Men dermed er de også medskyldige i de angreb, som koster enorme summer at bekæmpe.

Der kan argumenteres for at give bøder til en ISP, som tillader sådanne "forurenende" servere at betjene sig af deres net. De ville selvfølgelig sende regningen videre til kunden, som dermed får en konkret motivation for at gøre noget. Det må antages at lunten hos ISP vil være ret kort, hvis kunden ikke er samarbejdsvillig, så de kunne finde på at lave spærringer eller helt lukke for kunden.

Pointen er at ISP er nemmere at nå, end alle mulige "små skæve" servere her og der. De skal ikke længere blot se øget trafik som et grundlag for øget indtægt.

  • 0
  • 0
#12 Per Gøtterup

Checkede lige min favorit-distro Debian og selv om oldstable (Squeeze) faktisk har versionen af ntpd lige før den sikre, så er default konfigurationen sådan at man kun kan afgive 'monlist' og tilsvarende kommandoer fra localhost, og sådan har det været i over 10 år (fra og med 'Woody'). Jeg kan derfor kun ryste på hovedet over de distroer som har haft en anden default som har åbnet op for det her.

  • 1
  • 0
Log ind eller Opret konto for at kommentere