NTP yükseltme saldırısı olarak bilinen bu DDOS saldırı türünde de memcached saldırılarında olduğu gibi amplification adını verdiğimiz yükseltme tekniği kullanılmaktadır.
Bir siber saldırgan, hedeflenen bir ağı veya sunucuyu güçlendirilmiş bir şekilde UDP trafiğine boğarak hizmet dışı bırakabilir. Bu saldırıda ağ zaman protokolü olarak kullanılan NTP sunucularındaki zafiyet istismar edilerek gerçekleştirilir.
NTP sunucuları da memcached gibi küçük bir veri paketine daha büyük boyutlarda cevap verebilmektedir.
NTP Amplification Saldırısı Nasıl Yapılır?
Diğer DDOS büyütme ve yükseltme saldırılarında olduğu gibi siber saldırganlar, küçük sorgular göndererek NTP sunucularından büyük miktarda veri elde edebilirler.
Bu noktada DNS Flood saldırılarının DNS Amplification DDOS saldırılarından farklı olduğunu belirtmek isteriz. DNS Flood’un aksine DNS güçlendirme saldırıları saldırı kaynağını hizlemek ve etkinliği artırmak için güvensiz DNS sunucu trafiği kullanılmaktadır. Siber saldırgan DNS sunucularına çok sayıda istek göndererek küçük bant genişliğine sahip cihazları kullanmaktadır. Ele geçirilen bu küçük cihazlarla saldırgan çok sayıda istek göndererek dönüş adresine hedeflenen sunucuyu belirtir. Bu sayede güçlendirme yaparak hedeflemiş olduğu sunucunun ağ trafiğini durdurur.
Ağ Zaman Protokolü, internete bağlı cihazların dahili saatlerini senkronize etmesinei sağlamak için tasarlanmıştır ve internet mimarisinde önemli bir işlev görmektedirler. Bazı NTP sunucularında etkinleştirilen monlist komutunu kullanarak, saldırgan ilk istek trafiğini çoğaltabilir ve bu da büyük bir yanıtlar alabilir. Eski TNP sunucularında varsayılan olarak aktif olan monlist komutu bu saldırıda en önemli faktördür. Bu komut sayesinde NTP sunucusuna yapılan son 600 kaynak IP adresi ile yanıt vermektedir. Doğal olarak bir siber saldırgan 1GB internet trafiğini kullanarak 200GB’ın üzerinde bir saldırı yapabileceğini ortaya koymaktadır.
NTP Amplification Saldırısı Aşamaları Nelerdir?
- Saldırgan öncelikle sahte ip adreslerini kullanarak UDP paketlerini monlist komutunun etkin olduğu bir NTP sunucusuna gönderir. Bunu yaparken de genelde botnet ağı kullanırlar. Elbette ki ip paketlerinde kaynak ip adresi olarak kurban gösterilir.
- Her UDP paketi monlist komutu ile NTP sunucusuna bir istekte bulunur ve cevap olarak monlist sayesinde kat ve kat büyük bir sonuç döndürülür.
- Sunucu veri paketinde sahte ip adresine yanıt verir.
- Hedef IP adresi yanıtı alır ve bir anda NTP sunucu listelerinin geldiği yoğun bir trafikle karşılaşır. UDP paketleri arttıkça sunucunun iş yükü artar, hat kapasitesi doldurulur ve hizmet reddi gerçekleşir.
Aslında NTP sunucuları aldıkları trafiği meşru olarak görüp, kaynak ip adresinde belirtilen hedefe meşru bir trafik gönderirler. Gerçek bir trafik olduğu için de bu saldırı trafiğini azaltmak zor bir durumdur. UDP paketlerinde üçlü el sıkışma da olmadığı için bir anda trafik yığılmaya başlar. Çünkü UDP’de doğrulama yoktur ve karşı hedefe ne olursa olsun bu cevap gönderilir. Bu noktada hem UDP kullanılması hem de meşru bir trafik olması maalesef ki siber saldırganlar için mükemmel bir yansıtma saldırısı yapmasına olanak sağlar.
NTP Yükseltme saldırısı Nasıl Azaltılır?
Maalesef ki NTP yükseltme saldırılarında yapılabilecekler sınırlıdır. Üretilen yüksek trafik miktarı nedeni ile sunucu ile birlikte ağ yapısı da bundan etkilenir. ISP tarafından gelen trafik engellenmediği takdirde saldırı alan kurban kısa bir süre sonra devre dışı kalacaktır. Bu noktada ilk adım ISP ile iletişime geçerek bu duruma karşı bir kara delik oluşturup gelen isteklerin yok edilmesi sağlanmalıdır.
Buna karşı en etkili nokta Monlist özelliğinin NTP sunucularda devre dışı bırakmaktır. NTP sunucularında bu komutun pasif hale getirilmiş olması avantaj sağlayacaktır.
NTP yazılımlarının 4.2.7 sürümü öncesinde varsayılan olarak savunmasız olduğunu unutmamalıyız. Bir NTP sunucusu 4.2.7 ve üzeri sürüme güncellendiyse monlist komutu varsayılan olarak devre dışı olacaktır. Yükseltme yapılamıyorsa bu konu ile ilgili US-CERT’in yayınladığı talimatlar izlenebilir.
Sahte paketlerin ağdan ayrılması da etkili bir önlemdir. ISS’lere bu tarz saldırılarda büyük görev düşmektedir. ISP UDP üzerinden gelen bu güçlendirme saldırılarına karşı koruma sağlayabilir.
Kurumunuza Özel Sızma Testi Hizmeti