NTP Reflection DDoS attack
1. NTP Reflection DDoS attack ແມ່ນຫຍັງ?
NTP ຫຍໍ້ມາຈາກຄຳວ່າ Network Time Protocol ເປັນ Protocol ສຳລັບການທຽບເວລາມາດຕະຖານ ແລະ ຕັ້ງຄ່າເວລາເທິງເຄື່ອງຄອມພິວເຕີນັ້ນໆ ຜ່ານລະບົບເຄືອຂ່າຍ ສ່ວນໃຫຍ່ຖືກນຳມາໃຊ້ໃນອົງກອນເພື່ອຊ່ວຍເຮັດໃຫ້ເວລາໃນເຄື່ອງຄອມພິວເຕີ ຫຼື ເຄື່ອງແມ່ຂ່າຍນັ້ນມີຄ່າກົງກັນ ໂດຍຮູບແບບການເຮັດວຽກນັ້ນແບ່ງເປັນ 2 ສ່ວນຫຼັກໆຄື: ອຸປະກອນທີ່ໃຫ້ບໍລິການທຽບເວລາ (NTP Server) ກັບເຄື່ອງຄອມພິວເຕີ ຫຼື ອຸປະກອນທີ່ຕ້ອງການທຽບເວລາ (NTP Client) ໂດຍ Protocol NTP ນັ້ນເຊື່ອມຕໍ່ຜ່ານທາງລະບົບເຄືອຂ່າຍດ້ວຍ Protocol UDP ຜ່ານພອດ 123 (Protocol UDP ມີຄວາມວ່ອງໄວໃນການຮັບສົ່ງຂໍ້ມູນແຕ່ກໍມີຂໍ້ເສຍໂດຍກົງເພາະ Protocol UDP ບໍ່ມີການກວດສອບຄວາມຖືກຕ້ອງຂອງຂໍ້ມູນທີ່ຮັບສົ່ງກັນຢູ່ຄືກັບ TCP Protocol)
2. ປະຫວັດຄວາມເປັນມາຂອງ NTP
NTP ເປັນ Protocol ທີ່ໄດ້ຮັບຄວາມນິຍົມມາຫຼາຍຕັ້ງແຕ່ປີ 1985 ມີການພັດທະນາໂດຍທີມ NTP Project (R&D ຫຍໍ້ມາຈາກຄຳວ່າ Research & Development) ສຳລັບຊ໋ອບແວທີ່ເຮັດວຽກເປັນ NTP Server ເທິງລະບົບປະຕິບັດການ Unix ປະຈຸບັນໄດ້ພັດທະນາອອກມາເຖິງເວີຊັ່ນ 4.2.6 ແລະ ກຳລັງຢູ່ໃນລະຫວ່າງການທົດສອບສຳລັບເວີຊັ່ນ 4.2.7 (ໃນລະບົບປະຕິບັດການອື່ນໆເຊັ່ນ: ວິນໂດ ກໍມີຜູ້ພັດທະນານຳຊ໋ອດໂຄດທີ່ຢູ່ເທິງເວບ NTP ໄປພັດທະນາຕໍ່ຍອດສຳລັບໃຊ້ງານເປັນ NTP Server ເທິງວິນໂດດ້ວຍ) ລວມເຖິງໃນປະຈຸບັນຍັງມີອີກຫຼາຍບໍລິສັດທີ່ພັດທະນາອຸປະກອນປະເພດ NTP appliance ມາຈຳໜ່ວຍ ຊຶ່ງອຸປະກອນດັ່ງກ່າວສາມາດຮັບສັນຍານຈາກດາວທຽມ GPS ໄດ້ໂດຍກົງ ດັ່ງຮູບທີ 1
ຮູບທີ 1 ສະແດງແຜນຜັງຮູບພາບການເຊື່ອມຕໍ່ຂອງ Protocol NTP
ຈາກຮູບທີ 1 ພົບວ່າມີການແບ່ງລະດັບຊັ້ນຂອງ Stratum ອອກເປັນຫຼາຍສ່ວນ ໂດຍສາມາດອະທິບາຍຄວາມແຕກຕ່າງຂອງແຕ່ລະ Stratum ດັ່ງນີ້
Stratum 0 ຄືອຸປະກອນທຽບເວລາທີ່ໃຊ້ສັນຍານໂມງເປັນຕົວອ້າງອີງ ເຊັ່ນ: GPS ເປັນຕົ້ນ
Stratum 1 ຄືອຸປະກອນທຽບເວລາທີ່ເຊື່ອມຕໍ່ກັບ NTP Server ທີ່ເຮັດວຽກໃນ Stratum 0 ມີຄ່າຄວາມຄາດເຄື່ອນບໍ່ເກີນ 1 ມິນລິວິນາທີ
Stratum 2 ຄືອຸປະກອນທຽບເວລາທີ່ເຊື່ອມຕໍ່ກັບ NTP Server ທີ່ເຮັດວຽກໃນ Stratum 1 ມີຄ່າຄວາມຄາດເຄື່ອນປະມານ 10-100 ມິນລິວິນາທີ
Stratum 3 ຄືອຸປະກອນທຽບເວລາທີ່ເຊື່ອມຕໍ່ກັບ NTP Server ທີ່ເຮັດວຽກໃນ Stratum 2
Stratum 4 ຄືອຸປະກອນທຽບເວລາທີ່ເຊື່ອມຕໍ່ກັບ NTP Server ທີ່ເຮັດວຽກໃນ Stratum 3
3. ຮູບແບບການໂຈມຕີ
ເຖິງແມ່ນ Protocol NTP ຈະຖືກຄິດຄົ້ນ ແລະ ໃຊ້ງານມາດົນ ແລະ ຖືກນຳມາໃຊ້ງານຢ່າງແພ່ຫຼາຍ ແຕ່ເມື່ອທ້າຍເດືອນ ທັນວາ 2013 ທີຜ່ານມານີ້ ບໍລິສັດ Symantec ໄດ້ພົບຂໍ້ມູນທີໜ້າສົນໃຈກ່ຽວກັບປະລິມານການຮັບສົ່ງຂໍ້ມູນທີເພີ່ມຫຼາຍຂຶ້ນຈົນຜິດປົກກະຕິຂອງການໃຊ້ງານ Protocol NTP ຊຶ່ງພົບປະລິມານການຮັບສົ່ງຂໍ້ມູນດ້ວຍ Protocol ນີ້ມີປະລິມານເພີ່ມສູງຂຶ້ນຢ່າງຜິດປົກກະຕິ ໂດຍຄາດການວ່າການພົບຂໍ້ມູນດັ່ງກ່າວໜ້າຈະເກີດຈາກການກະທຳການບາງຢ່າງ ຫຼື ອາດໝາຍເຖິງການໂຈມຕີຮູບແບບໃໝ່ກໍເປັນໄດ້ ໂດຍ Symantec ໄດ້ເປີດເຜີຍສະຖິຕິທີບົ່ງຊີ້ວ່າຊ່ວງກາງເດືອນ ທັນວາ 2013 ມີການໃຊ້ NTP Server ປະມານ 15, 000 ເຄື່ອງ ຊຶ່ງພົບວ່າມີຄວາມພະຍາຍາມສົ່ງຂໍ້ມູນມະຫາສານໄປຍັງລະບົບຕ່າງໆ ເມື່ອມີການວິເຄາະລົງເລິກແລ້ວ ກໍ່ຢືນຢັນໄດ້ວ່າເປັນການໂຈມຕີແທ້ ໂດຍເທັກນິກການໂຈມຕີໄດ້ອາໄສປະໂຫຍດຈາກ NTP Server ທີຕັ້ງຄ່າບໍ່ເໝາະສົມ ຫຼື ຕໍ່ໄປຈະເອີ້ນວ່າ NTP Server ທີມີຊ່ອງໂຫວ່ ຊຶ່ງຖືກນຳມາໃຊ້ເປັນສ່ວນໜຶ່ງຂອງການໂຈມຕີໃນລັກສະນະ DDoS ຫຼື Distribute Denial Of Service ໂດຍມີຈຸດປະສົງຂອງການໂຈມຕີເພື່ອທີຕ້ອງການຍັບຢັ້ງການໃຫ້ບໍລິການຂອງເຄື່ອງທີ່ຖືກໂຈມຕີ ເຮັດໃຫ້ບໍ່ສາມາດໃຫ້ບໍລິການ ຫຼື ເຮັດວຽກຕໍ່ໄດ້ ໂດຍສາມາດອະທິບາຍຕາມຕົວຢ່າງດັ່ງຮູບທີ 2
ຮູບທີ 2 ບໍລິສັດ Symantec ໄດ້ເປີດເຜີດສະຖິຕິທີບົ່ງບອກວ່າຊ່ວງກາງເດືອນທັນວາ 2013 ມີການໃຊ້ NTP Server ປະມານ 15, 000 ໂຈມຕີໃນລະບົບຕ່າງໆ
ຮູບທີ 3 ສະແດງຮູບແບບການໂຈມຕີລະບົບ ໂດຍເທັກນິກ Reflection DDoS Attack
ຈາກຮູບທີ 3 ສະແດງໃຫ້ເຫັນວ່າຜູ້ບໍ່ປະສົງດີສາມາດໂຈມຕີເຄື່ອງໃຫ້ບໍລິການເວບໄຊແຫ່ງໜຶ່ງ ຫຼື ເອີ້ນວ່າເຄື່ອງເປົ້າໝາຍໃນລັກສະນະ DDoS ແລະ ເປັນທີ່ໜ້າສັງເກດຫຼາຍຄືເທັກນິກດັ່ງກ່າວສ້າງຄວາມເສຍຫາຍແກ່ເປົ້າໝາຍຢ່າງຮຸນແຮງ ໂດຍສາມາດເຮັດສິ່ງທີເອີ້ນວ່າການຂະຫຍາຍປະລິມານຂໍ້ມູນທີ່ໂຈມຕີ (Amplification Attack) ໂດຍການສົ່ງ Packet ນ້ອຍໆ (ປະລິມານ Packet ລະ 8 Bytes) ຈຳນວນໜຶ່ງໄປຍັງເຄື່ອງ NTP Server ຕ່າງໆທີມີຊ່ອງໂຫວ່ ຈາກນັ້ນເຄື່ອງ NTP Server ເຫລົ່ານັ້ນຈະສົ່ງຂໍ້ມູນກັບໄປຍັງເຄື່ອງເປົ້າໝາຍໃນປະລິມານມະຫາສານ ສົ່ງຜົນໃຫ້ເຄື່ອງເປົ້າໝາຍທີຖືກໂຈມຕີຕ້ອງຮັບພາລະໃນການປະມວນຜົນຂໍ້ມູນມະຫາສານ ຈົນສຸດທ້າຍບໍ່ສາມາດໃຫ້ບໍລິການຕໍ່ໄປໄດ້
ລວມເຖິງເມື່ອວັນທີ 13 ມັງກອນ 2014 ໄດ້ມີການເຜີຍແຜ່ຂໍ້ມູນການໂຈມຕີລະບົບເກມອອນໄລຊື່ດັ່ງຫຼາຍແຫ່ງ ເຊັ່ນ: Battle.net, EA.com ຖືກໂຈມຕີດ້ວຍເທັກນິກ Reflection DDoS Attack ແລະ ພົບວ່າປະລິມານ Bandwidth ສູງສຸດທີໂຈມຕີໃນເທື່ອນີ້ສູງເຖິງ 100 Gbps ສ່ວນ Bandwidth ການໂຈມຕີສະເລ່ຍຢູ່ທີ 7.3 Gbps ແລະ ລ່າສຸດ ບໍລິສັດ Cloudfare ໄດ້ເປີດເຜີຍວ່າ (ບໍລິສັດທີເບິ່ງແຍງເຄືອຂ່າຍໃຫຍ່ທີສຸດແຫ່ງໜຶ່ງຂອງໂລກ) ຖືກໂຈມຕີເຄືອຂ່າຍທີມີປະລິມານການໂຈມຕີສູງສຸດເຖິງ 400 Gbps ຊຶ່ງນັບວ່າເປັນການໂຈມຕີທີສູງທີສຸດເທື່ອໜຶ່ງຂອງໂລກ ຫຼາຍກວ່າເທື່ອທີ່ມີການໃຊ້ເທັກນິກ DNS Amplification Attack.
4. ຂໍ້ແນະນຳ
ພົບວ່າໃນຊ໋ອບແວ NTP Server ເວີຊັ່ນ 4.2.7 (ປະຈຸບັນຍັງຄົງເປັນເວີຊັ່ນທີກຳລັງພັດທະນາເປີດໃຫ້ດາວໂຫລດໃນລັກສະນະ Beta) ໄດ້ມີການຖອນຟັງຊັ່ນການເຮັດວຽກຂອງ ‘monlist’ ເພື່ອແກ້ໄຂບັນຫາດັ່ງກ່າວດ້ວຍ ແຕ່ຢ່າງໃດກໍ່ຕາມສຳລັບຜູ້ເບິ່ງແຍງລະບົບທີບໍ່ສາມາດອັບເດດຊ໋ອບແວ ໃນເວີຊັ່ນດັ່ງກ່າວໄດ້ ແຕ່ຍັງສາມາດໃຊ້ວິທີການຕັ້ງຄ່າຕາມລາຍລະອຽດດ້ານລຸມເພື່ອລຸດຜົນກະທົບຈາກການໂຈມຕີຊ່ອງໂຫວ່ດັ່ງກ່າວ ໃນໄຟລການຕັ້ງຄ່າຂອງ NTP Server (ໄຟລຊື່ ntp.conf) ໂດຍສາມາດເລືອກເຮັດຂໍ້ໃດຂໍ້ໜຶ່ງກໍ່ໄດ້ຕາມຂໍ້ມູນດັ່ງຕໍ່ໄປນີ້
1. ຕັ້ງຄ່າເພື່ອປິດການເຮັດວຽກຂອງຟັງຊັ່ນ monlist
#ເພີ່ມ
disable monitor
2. [ຕັ້ງຄ່າເພື່ອປິດການເອີ້ນໃຊ້ງານຟັງຊັ່ນການອ່ານຄ່າຕ່າງໆຂອງ NTP Server]
#ເພີ່ມ
restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap
ຈາກນັ້ນໃຫ້ Restart ບໍລິການຂອງ NTP Server ເພື່ອໃຫ້ລະບົບໃຊ້ງານການຕັ້ງຄ່າໃໝ່ ແລະ ທົດສອບເອີ້ນໃຊ້ງານຟັງຊັ່ນ monlist ເບິ່ງອີກເທື່ອ ຈະພົບວ່າບໍ່ສາມາດເອີ້ນໃຊ້ງານໄດ້ອີກຕໍ່ໄປ
ເອກະສານອ້າງອີງ
- http://www.ntp.org
- http://thehackernews.com/2014/01/ddos-attack-NTP-server-reflection-protection.html
- http://thehackernews.com/2014/02/NTP-Distributed-Denial-of-Service-DDoS-attack.html
Porher 02 September 2020 5215 reads
Print
NTP ຫຍໍ້ມາຈາກຄຳວ່າ Network Time Protocol ເປັນ Protocol ສຳລັບການທຽບເວລາມາດຕະຖານ ແລະ ຕັ້ງຄ່າເວລາເທິງເຄື່ອງຄອມພິວເຕີນັ້ນໆ ຜ່ານລະບົບເຄືອຂ່າຍ ສ່ວນໃຫຍ່ຖືກນຳມາໃຊ້ໃນອົງກອນເພື່ອຊ່ວຍເຮັດໃຫ້ເວລາໃນເຄື່ອງຄອມພິວເຕີ ຫຼື ເຄື່ອງແມ່ຂ່າຍນັ້ນມີຄ່າກົງກັນ ໂດຍຮູບແບບການເຮັດວຽກນັ້ນແບ່ງເປັນ 2 ສ່ວນຫຼັກໆຄື: ອຸປະກອນທີ່ໃຫ້ບໍລິການທຽບເວລາ (NTP Server) ກັບເຄື່ອງຄອມພິວເຕີ ຫຼື ອຸປະກອນທີ່ຕ້ອງການທຽບເວລາ (NTP Client) ໂດຍ Protocol NTP ນັ້ນເຊື່ອມຕໍ່ຜ່ານທາງລະບົບເຄືອຂ່າຍດ້ວຍ Protocol UDP ຜ່ານພອດ 123 (Protocol UDP ມີຄວາມວ່ອງໄວໃນການຮັບສົ່ງຂໍ້ມູນແຕ່ກໍມີຂໍ້ເສຍໂດຍກົງເພາະ Protocol UDP ບໍ່ມີການກວດສອບຄວາມຖືກຕ້ອງຂອງຂໍ້ມູນທີ່ຮັບສົ່ງກັນຢູ່ຄືກັບ TCP Protocol)
2. ປະຫວັດຄວາມເປັນມາຂອງ NTP
NTP ເປັນ Protocol ທີ່ໄດ້ຮັບຄວາມນິຍົມມາຫຼາຍຕັ້ງແຕ່ປີ 1985 ມີການພັດທະນາໂດຍທີມ NTP Project (R&D ຫຍໍ້ມາຈາກຄຳວ່າ Research & Development) ສຳລັບຊ໋ອບແວທີ່ເຮັດວຽກເປັນ NTP Server ເທິງລະບົບປະຕິບັດການ Unix ປະຈຸບັນໄດ້ພັດທະນາອອກມາເຖິງເວີຊັ່ນ 4.2.6 ແລະ ກຳລັງຢູ່ໃນລະຫວ່າງການທົດສອບສຳລັບເວີຊັ່ນ 4.2.7 (ໃນລະບົບປະຕິບັດການອື່ນໆເຊັ່ນ: ວິນໂດ ກໍມີຜູ້ພັດທະນານຳຊ໋ອດໂຄດທີ່ຢູ່ເທິງເວບ NTP ໄປພັດທະນາຕໍ່ຍອດສຳລັບໃຊ້ງານເປັນ NTP Server ເທິງວິນໂດດ້ວຍ) ລວມເຖິງໃນປະຈຸບັນຍັງມີອີກຫຼາຍບໍລິສັດທີ່ພັດທະນາອຸປະກອນປະເພດ NTP appliance ມາຈຳໜ່ວຍ ຊຶ່ງອຸປະກອນດັ່ງກ່າວສາມາດຮັບສັນຍານຈາກດາວທຽມ GPS ໄດ້ໂດຍກົງ ດັ່ງຮູບທີ 1
ຮູບທີ 1 ສະແດງແຜນຜັງຮູບພາບການເຊື່ອມຕໍ່ຂອງ Protocol NTP
ຈາກຮູບທີ 1 ພົບວ່າມີການແບ່ງລະດັບຊັ້ນຂອງ Stratum ອອກເປັນຫຼາຍສ່ວນ ໂດຍສາມາດອະທິບາຍຄວາມແຕກຕ່າງຂອງແຕ່ລະ Stratum ດັ່ງນີ້
Stratum 0 ຄືອຸປະກອນທຽບເວລາທີ່ໃຊ້ສັນຍານໂມງເປັນຕົວອ້າງອີງ ເຊັ່ນ: GPS ເປັນຕົ້ນ
Stratum 1 ຄືອຸປະກອນທຽບເວລາທີ່ເຊື່ອມຕໍ່ກັບ NTP Server ທີ່ເຮັດວຽກໃນ Stratum 0 ມີຄ່າຄວາມຄາດເຄື່ອນບໍ່ເກີນ 1 ມິນລິວິນາທີ
Stratum 2 ຄືອຸປະກອນທຽບເວລາທີ່ເຊື່ອມຕໍ່ກັບ NTP Server ທີ່ເຮັດວຽກໃນ Stratum 1 ມີຄ່າຄວາມຄາດເຄື່ອນປະມານ 10-100 ມິນລິວິນາທີ
Stratum 3 ຄືອຸປະກອນທຽບເວລາທີ່ເຊື່ອມຕໍ່ກັບ NTP Server ທີ່ເຮັດວຽກໃນ Stratum 2
Stratum 4 ຄືອຸປະກອນທຽບເວລາທີ່ເຊື່ອມຕໍ່ກັບ NTP Server ທີ່ເຮັດວຽກໃນ Stratum 3
3. ຮູບແບບການໂຈມຕີ
ເຖິງແມ່ນ Protocol NTP ຈະຖືກຄິດຄົ້ນ ແລະ ໃຊ້ງານມາດົນ ແລະ ຖືກນຳມາໃຊ້ງານຢ່າງແພ່ຫຼາຍ ແຕ່ເມື່ອທ້າຍເດືອນ ທັນວາ 2013 ທີຜ່ານມານີ້ ບໍລິສັດ Symantec ໄດ້ພົບຂໍ້ມູນທີໜ້າສົນໃຈກ່ຽວກັບປະລິມານການຮັບສົ່ງຂໍ້ມູນທີເພີ່ມຫຼາຍຂຶ້ນຈົນຜິດປົກກະຕິຂອງການໃຊ້ງານ Protocol NTP ຊຶ່ງພົບປະລິມານການຮັບສົ່ງຂໍ້ມູນດ້ວຍ Protocol ນີ້ມີປະລິມານເພີ່ມສູງຂຶ້ນຢ່າງຜິດປົກກະຕິ ໂດຍຄາດການວ່າການພົບຂໍ້ມູນດັ່ງກ່າວໜ້າຈະເກີດຈາກການກະທຳການບາງຢ່າງ ຫຼື ອາດໝາຍເຖິງການໂຈມຕີຮູບແບບໃໝ່ກໍເປັນໄດ້ ໂດຍ Symantec ໄດ້ເປີດເຜີຍສະຖິຕິທີບົ່ງຊີ້ວ່າຊ່ວງກາງເດືອນ ທັນວາ 2013 ມີການໃຊ້ NTP Server ປະມານ 15, 000 ເຄື່ອງ ຊຶ່ງພົບວ່າມີຄວາມພະຍາຍາມສົ່ງຂໍ້ມູນມະຫາສານໄປຍັງລະບົບຕ່າງໆ ເມື່ອມີການວິເຄາະລົງເລິກແລ້ວ ກໍ່ຢືນຢັນໄດ້ວ່າເປັນການໂຈມຕີແທ້ ໂດຍເທັກນິກການໂຈມຕີໄດ້ອາໄສປະໂຫຍດຈາກ NTP Server ທີຕັ້ງຄ່າບໍ່ເໝາະສົມ ຫຼື ຕໍ່ໄປຈະເອີ້ນວ່າ NTP Server ທີມີຊ່ອງໂຫວ່ ຊຶ່ງຖືກນຳມາໃຊ້ເປັນສ່ວນໜຶ່ງຂອງການໂຈມຕີໃນລັກສະນະ DDoS ຫຼື Distribute Denial Of Service ໂດຍມີຈຸດປະສົງຂອງການໂຈມຕີເພື່ອທີຕ້ອງການຍັບຢັ້ງການໃຫ້ບໍລິການຂອງເຄື່ອງທີ່ຖືກໂຈມຕີ ເຮັດໃຫ້ບໍ່ສາມາດໃຫ້ບໍລິການ ຫຼື ເຮັດວຽກຕໍ່ໄດ້ ໂດຍສາມາດອະທິບາຍຕາມຕົວຢ່າງດັ່ງຮູບທີ 2
ຮູບທີ 3 ສະແດງຮູບແບບການໂຈມຕີລະບົບ ໂດຍເທັກນິກ Reflection DDoS Attack
ຈາກຮູບທີ 3 ສະແດງໃຫ້ເຫັນວ່າຜູ້ບໍ່ປະສົງດີສາມາດໂຈມຕີເຄື່ອງໃຫ້ບໍລິການເວບໄຊແຫ່ງໜຶ່ງ ຫຼື ເອີ້ນວ່າເຄື່ອງເປົ້າໝາຍໃນລັກສະນະ DDoS ແລະ ເປັນທີ່ໜ້າສັງເກດຫຼາຍຄືເທັກນິກດັ່ງກ່າວສ້າງຄວາມເສຍຫາຍແກ່ເປົ້າໝາຍຢ່າງຮຸນແຮງ ໂດຍສາມາດເຮັດສິ່ງທີເອີ້ນວ່າການຂະຫຍາຍປະລິມານຂໍ້ມູນທີ່ໂຈມຕີ (Amplification Attack) ໂດຍການສົ່ງ Packet ນ້ອຍໆ (ປະລິມານ Packet ລະ 8 Bytes) ຈຳນວນໜຶ່ງໄປຍັງເຄື່ອງ NTP Server ຕ່າງໆທີມີຊ່ອງໂຫວ່ ຈາກນັ້ນເຄື່ອງ NTP Server ເຫລົ່ານັ້ນຈະສົ່ງຂໍ້ມູນກັບໄປຍັງເຄື່ອງເປົ້າໝາຍໃນປະລິມານມະຫາສານ ສົ່ງຜົນໃຫ້ເຄື່ອງເປົ້າໝາຍທີຖືກໂຈມຕີຕ້ອງຮັບພາລະໃນການປະມວນຜົນຂໍ້ມູນມະຫາສານ ຈົນສຸດທ້າຍບໍ່ສາມາດໃຫ້ບໍລິການຕໍ່ໄປໄດ້
ລວມເຖິງເມື່ອວັນທີ 13 ມັງກອນ 2014 ໄດ້ມີການເຜີຍແຜ່ຂໍ້ມູນການໂຈມຕີລະບົບເກມອອນໄລຊື່ດັ່ງຫຼາຍແຫ່ງ ເຊັ່ນ: Battle.net, EA.com ຖືກໂຈມຕີດ້ວຍເທັກນິກ Reflection DDoS Attack ແລະ ພົບວ່າປະລິມານ Bandwidth ສູງສຸດທີໂຈມຕີໃນເທື່ອນີ້ສູງເຖິງ 100 Gbps ສ່ວນ Bandwidth ການໂຈມຕີສະເລ່ຍຢູ່ທີ 7.3 Gbps ແລະ ລ່າສຸດ ບໍລິສັດ Cloudfare ໄດ້ເປີດເຜີຍວ່າ (ບໍລິສັດທີເບິ່ງແຍງເຄືອຂ່າຍໃຫຍ່ທີສຸດແຫ່ງໜຶ່ງຂອງໂລກ) ຖືກໂຈມຕີເຄືອຂ່າຍທີມີປະລິມານການໂຈມຕີສູງສຸດເຖິງ 400 Gbps ຊຶ່ງນັບວ່າເປັນການໂຈມຕີທີສູງທີສຸດເທື່ອໜຶ່ງຂອງໂລກ ຫຼາຍກວ່າເທື່ອທີ່ມີການໃຊ້ເທັກນິກ DNS Amplification Attack.
4. ຂໍ້ແນະນຳ
ພົບວ່າໃນຊ໋ອບແວ NTP Server ເວີຊັ່ນ 4.2.7 (ປະຈຸບັນຍັງຄົງເປັນເວີຊັ່ນທີກຳລັງພັດທະນາເປີດໃຫ້ດາວໂຫລດໃນລັກສະນະ Beta) ໄດ້ມີການຖອນຟັງຊັ່ນການເຮັດວຽກຂອງ ‘monlist’ ເພື່ອແກ້ໄຂບັນຫາດັ່ງກ່າວດ້ວຍ ແຕ່ຢ່າງໃດກໍ່ຕາມສຳລັບຜູ້ເບິ່ງແຍງລະບົບທີບໍ່ສາມາດອັບເດດຊ໋ອບແວ ໃນເວີຊັ່ນດັ່ງກ່າວໄດ້ ແຕ່ຍັງສາມາດໃຊ້ວິທີການຕັ້ງຄ່າຕາມລາຍລະອຽດດ້ານລຸມເພື່ອລຸດຜົນກະທົບຈາກການໂຈມຕີຊ່ອງໂຫວ່ດັ່ງກ່າວ ໃນໄຟລການຕັ້ງຄ່າຂອງ NTP Server (ໄຟລຊື່ ntp.conf) ໂດຍສາມາດເລືອກເຮັດຂໍ້ໃດຂໍ້ໜຶ່ງກໍ່ໄດ້ຕາມຂໍ້ມູນດັ່ງຕໍ່ໄປນີ້
1. ຕັ້ງຄ່າເພື່ອປິດການເຮັດວຽກຂອງຟັງຊັ່ນ monlist
#ເພີ່ມ
disable monitor
2. [ຕັ້ງຄ່າເພື່ອປິດການເອີ້ນໃຊ້ງານຟັງຊັ່ນການອ່ານຄ່າຕ່າງໆຂອງ NTP Server]
#ເພີ່ມ
restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap
ຈາກນັ້ນໃຫ້ Restart ບໍລິການຂອງ NTP Server ເພື່ອໃຫ້ລະບົບໃຊ້ງານການຕັ້ງຄ່າໃໝ່ ແລະ ທົດສອບເອີ້ນໃຊ້ງານຟັງຊັ່ນ monlist ເບິ່ງອີກເທື່ອ ຈະພົບວ່າບໍ່ສາມາດເອີ້ນໃຊ້ງານໄດ້ອີກຕໍ່ໄປ
ເອກະສານອ້າງອີງ
- http://www.ntp.org
- http://thehackernews.com/2014/01/ddos-attack-NTP-server-reflection-protection.html
- http://thehackernews.com/2014/02/NTP-Distributed-Denial-of-Service-DDoS-attack.html