Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ບົດຄວາມ

NTP Reflection DDoS attack

1. NTP Reflection DDoS attack ແມ່ນຫຍັງ?

NTP ຫຍໍ້​ມາ​ຈາກ​ຄຳ​ວ່າ Network Time Protocol ເປັນ​ Protocol ສຳລັບ​ການ​ທຽບ​ເວລາ​ມາດຕະຖານ​ ແລະ​ ຕັ້ງ​ຄ່າ​ເວລາ​ເທິງ​ເຄື່ອງ​ຄອມພິວເຕີ​ນັ້ນໆ ​ຜ່ານ​ລະບົບ​ເຄືອ​ຂ່າຍ ສ່ວນ​ໃຫຍ່​ຖືກ​ນຳ​ມາ​ໃຊ້​ໃນ​ອົງ​ກອນ​ເພື່ອ​ຊ່ວຍ​ເຮັດໃຫ້​ເວລາ​ໃນ​ເຄື່ອງ​ຄອມພິວເຕີ​ ຫຼື ​ເຄື່ອງ​ແມ່​ຂ່າຍ​ນັ້ນ​ມີ​ຄ່າ​ກົງ​ກັນ ໂດຍ​ຮູບ​ແບບ​ການເຮັດວຽກນັ້ນ​ແບ່ງ​ເປັນ 2 ສ່ວນ​ຫຼັກໆ​ຄື​: ອຸປະກອນ​ທີ່​ໃຫ້​ບໍລິການ​ທຽບ​ເວລາ (NTP Server) ກັບ​ເຄື່ອງ​ຄອມພິວເຕີ​ ຫຼື ​ອຸປະກອນ​ທີ່​ຕ້ອງ​ການ​ທຽບ​ເວລາ (NTP Client)  ໂດຍ​ Protocol NTP ນັ້ນ​ເຊື່ອມ​ຕໍ່​ຜ່ານ​ທາງ​ລະບົບ​ເຄືອ​ຂ່າຍ​ດ້ວຍ Protocol UDP ຜ່ານ​ພອດ 123 (Protocol UDP ມີ​ຄວາມ​ວ່ອງໄວ​ໃນ​ການ​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ແຕ່​ກໍ​ມີ​ຂໍ້​ເສຍ​ໂດຍກົງ​ເພາະ​ Protocol UDP ບໍ່​ມີ​ການ​ກວດ​ສອບ​ຄວາມ​ຖືກ​ຕ້ອງ​ຂອງ​ຂໍ້​ມູນ​ທີ່​ຮັບ​ສົ່ງ​ກັນ​ຢູ່​ຄືກັບ TCP Protocol)

2.  ປະຫວັດຄວາມເປັນມາຂອງ NTP

NTP ເປັນ​ Protocol ​ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ມາ​ຫຼາຍ​ຕັ້ງ​ແຕ່​ປີ 1985 ມີ​ການ​ພັດທະນາ​ໂດຍ​ທີມ NTP Project (R&D ຫຍໍ້​ມາ​ຈາກ​ຄຳ​ວ່າ Research & Development)   ສຳລັບ​ຊ໋ອບ​ແວທີ່​ເຮັດວຽກ​ເປັນ NTP Server ເທິງ​ລະບົບ​ປະຕິບັດການ Unix ປະຈຸບັນ​ໄດ້​ພັດທະນາ​ອອກ​ມາ​ເຖິງ​ເວີ​ຊັ່ນ 4.2.6 ແລະ​ ກຳລັງ​ຢູ່ໃນ​ລະຫວ່າງ​ການ​ທົດສອບ​ສຳລັບ​ເວີ​ຊັ່ນ 4.2.7 (ໃນ​ລະບົບ​ປະຕິບັດການ​ອື່ນໆ​ເຊັ່ນ: ວິນ​ໂດ ກໍ​ມີ​ຜູ້​ພັດທະນາ​ນຳ​ຊ໋ອດໂ​ຄດ​ທີ່​ຢູ່​ເທິງ​ເວບ NTP ໄປ​ພັດທະນາ​ຕໍ່ຍອດສຳລັບ​ໃຊ້​ງານ​ເປັນ NTP Server ເທິງ​ວິນ​ໂດ​ດ້ວຍ) ລວມ​ເຖິງ​ໃນ​ປະຈຸບັນ​ຍັງມີ​ອີກ​ຫຼາຍ​ບໍລິສັດ​ທີ່​ພັດທະນາ​ອຸປະກອນ​ປະ​ເພດ NTP appliance ມາ​ຈຳ​ໜ່ວຍ ຊຶ່ງ​ອຸປະກອນ​ດັ່ງ​ກ່າວ​ສາມາດ​ຮັບ​ສັນ​ຍານ​ຈາກ​ດາວ​ທຽມ GPS ໄດ້​ໂດຍ​ກົງ​ ດັ່ງຮູບທີ 1

Main Images: ntp_1.png

ຮູບ​ທີ 1 ສະແດງ​ແຜນ​ຜັງ​ຮູບ​ພາບ​ການ​ເຊື່ອມ​ຕໍ່​ຂອງ​ Protocol NTP

ຈາກ​ຮູບ​ທີ 1 ພົບ​ວ່າ​ມີ​ການ​ແບ່ງ​ລະ​ດັບ​ຊັ້ນ​ຂອງ Stratum ອອກ​ເປັນ​ຫຼາຍ​ສ່ວນ ໂດຍ​ສາມາດ​ອະທິບາຍ​ຄວາມ​ແຕກ​ຕ່າງ​ຂອງ​ແຕ່​ລະ Stratum ດັ່ງ​ນີ້

Stratum 0 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ໃຊ້​ສັນ​ຍານ​ໂມງ​ເປັນ​ຕົວ​ອ້າງ​ອີງ ເຊັ່ນ:  GPS ເປັນ​ຕົ້ນ
Stratum 1 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ NTP Server ທີ່​ເຮັດວຽກ​ໃນ Stratum 0 ມີ​ຄ່າ​ຄວາມ​ຄາດ​ເຄື່ອນ​ບໍ່​ເກີນ 1 ມິນ​ລິ​ວິ​ນາ​ທີ
Stratum 2 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ NTP Server ທີ່​ເຮັດວຽກ​ໃນ Stratum 1 ມີ​ຄ່າ​ຄວາມ​ຄາດ​ເຄື່ອນ​ປະ​ມານ 10-100 ມິນ​ລິ​ວິ​ນາ​ທີ
Stratum 3 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ NTP Server ທີ່​ເຮັດວຽກ​ໃນ Stratum 2
Stratum 4 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ NTP Server ທີ່​ເຮັດວຽກ​ໃນ Stratum 3

3. ຮູບແບບການໂຈມຕີ

ເຖິງແມ່ນ​ Protocol NTP ຈະ​ຖືກ​ຄິດ​ຄົ້ນ ​ແລະ ​ໃຊ້​ງານ​ມາ​ດົນ ແລະ​ ຖືກ​ນຳ​ມາ​ໃຊ້​ງານ​ຢ່າງ​ແພ່​ຫຼາຍ ແຕ່​ເມື່ອ​ທ້າຍເດືອນ​ ທັນວາ 2013 ທີ​ຜ່ານມາ​ນີ້ ບໍລິສັດ Symantec ໄດ້​ພົບ​ຂໍ້​ມູນ​ທີ​ໜ້າ​ສົນ​ໃຈ​ກ່ຽວກັບ​ປະລິມານ​ການ​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ທີ​ເພີ່ມ​ຫຼາຍ​​ຂຶ້ນ​ຈົນ​ຜິດປົກກະຕິ​ຂອງ​ການ​ໃຊ້​ງານ​ Protocol NTP ຊຶ່ງ​ພົບ​ປະລິມານ​ການ​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ດ້ວຍ​ Protocol ນີ້​ມີ​ປະລິມານ​ເພີ່ມ​ສູງ​ຂຶ້ນ​ຢ່າງ​ຜິດ​ປົກກະຕິ ໂດຍ​ຄາດ​ການວ່າ​ການ​ພົບ​ຂໍ້​ມູນ​ດັ່ງ​ກ່າວ​ໜ້າ​ຈະ​ເກີດ​ຈາກ​ການ​ກະທຳ​ການ​ບາງຢ່າງ​ ຫຼື​ ອາດ​ໝາຍ​ເຖິງ​ການ​ໂຈມ​ຕີ​ຮູບ​ແບບ​ໃໝ່​ກໍ​ເປັນ​ໄດ້ ໂດຍ​ Symantec ໄດ້​ເປີດ​ເຜີຍສະຖິ​ຕິ​ທີ​ບົ່ງ​ຊີ້​ວ່າ​ຊ່ວງ​ກາງ​ເດືອນ ​ທັນວາ 2013 ມີ​ການ​ໃຊ້ NTP Server ປະ​ມານ 15, 000 ເຄື່ອງ ຊຶ່ງ​ພົບ​ວ່າ​ມີ​ຄວາມ​ພະຍາຍາມ​ສົ່ງ​ຂໍ້​ມູນ​ມະຫາ​ສານ​ໄປ​ຍັງ​ລະບົບ​ຕ່າງໆ  ເມື່ອ​ມີການ​ວິ​ເຄາະ​ລົງ​​ເລິກ​ແລ້ວ ກໍ່ຢືນຢັນ​ໄດ້​ວ່າ​ເປັນ​ການ​ໂຈມ​ຕີແທ້​ ໂດຍ​ເທັກ​ນິກ​ການ​ໂຈມ​ຕີ​ໄດ້​ອາໄສ​ປະໂຫຍດ​ຈາກ NTP Server ທີ​ຕັ້ງ​ຄ່າ​ບໍ່​ເໝາະ​ສົມ​ ຫຼື ​ຕໍ່ໄປ​ຈະ​ເອີ້ນວ່າ NTP Server ທີ​ມີ​ຊ່ອງ​ໂຫວ່ ຊຶ່ງ​ຖືກ​ນຳ​ມາ​ໃຊ້​ເປັນ​ສ່ວນໜຶ່ງ​ຂອງ​ການ​ໂຈມ​ຕີ​ໃນ​ລັກສະນະ DDoS ຫຼື Distribute Denial Of Service ໂດຍ​ມີ​ຈຸດປະສົງ​ຂອງ​ການ​ໂຈມ​ຕີ​ເພື່ອ​ທີ​ຕ້ອງ​ການ​ຍັບຢັ້ງ​ການ​ໃຫ້​ບໍລິການ​ຂອງ​ເຄື່ອງ​ທີ່​ຖືກ​ໂຈມ​ຕີ ເຮັດໃຫ້​ບໍ່​ສາມາດ​ໃຫ້​ບໍລິການ​ ຫຼື​ ເຮັດວຽກ​ຕໍ່​ໄດ້ ໂດຍ​ສາມາດ​ອະທິບາຍ​ຕາມ​ຕົວ​ຢ່າງ​ດັ່ງ​ຮູບ​ທີ 2

Main Images: ntp_3.png

ຮູບ​ທີ 2 ບໍລິສັດ Symantec ໄດ້​ເປີດ​ເຜີດສະ​ຖິ​ຕິ​ທີ​ບົ່ງ​ບອກ​ວ່າ​ຊ່ວງ​ກາງ​ເດືອນ​ທັນວາ 2013 ມີ​ການ​ໃຊ້ NTP Server ປະ​ມານ 15, 000 ໂຈມ​ຕີ​ໃນ​​ລະບົບ​ຕ່າງໆ

Main Images: ntp_2.png

ຮູບ​ທີ 3 ສະແດງ​ຮູບ​ແບບ​ການ​ໂຈມ​ຕີ​ລະບົບ ໂດຍ​ເທັກ​ນິກ Reflection DDoS Attack

ຈາກ​ຮູບ​ທີ 3 ສະແດງ​ໃຫ້​ເຫັນ​ວ່າ​ຜູ້​ບໍ່​ປະສົງ​ດີ​ສາມາດ​ໂຈມ​ຕີ​ເຄື່ອງ​ໃຫ້​ບໍລິການ​ເວບ​ໄຊ​ແຫ່ງ​ໜຶ່ງ​ ຫຼື ​ເອີ້ນວ່າ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ໃນ​ລັກສະນະ DDoS ແລະ ​ເປັນ​ທີ່​ໜ້າ​ສັງເກດ​ຫຼາຍ​ຄື​ເທັກ​ນິກ​ດັ່ງ​ກ່າວ​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ແກ່​ເປົ້າ​ໝາຍ​ຢ່າງ​ຮຸນແຮງ ໂດຍ​ສາມາດ​ເຮັດ​ສິ່ງ​ທີ​ເອີ້ນວ່າ​ການ​ຂະຫຍາຍ​ປະລິມານ​ຂໍ້​ມູນ​ທີ່ໂຈມ​ຕີ (Amplification Attack) ໂດຍ​ການ​ສົ່ງ Packet ນ້ອຍ​ໆ (ປະລິມານ Packet ລະ 8 Bytes) ຈຳນວນ​ໜຶ່ງ​ໄປ​ຍັງ​ເຄື່ອງ NTP Server ຕ່າງໆ​ທີ​ມີ​ຊ່ອງ​ໂຫວ່ ຈາກ​ນັ້ນ​ເຄື່ອງ NTP Server ເຫລົ່າ​ນັ້ນ​ຈະ​ສົ່ງ​ຂໍ້​ມູນ​ກັບ​ໄປ​ຍັງ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ໃນ​ປະລິມານ​ມະຫາ​ສານ ສົ່ງ​ຜົນ​ໃຫ້​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ທີ​ຖືກ​ໂຈມ​ຕີ​ຕ້ອງ​ຮັບ​ພາລະ​ໃນ​ການ​ປະ​ມວນ​ຜົນ​ຂໍ້​ມູນ​ມະຫາ​ສານ ຈົນ​ສຸດ​ທ້າຍ​ບໍ່​ສາມາດ​ໃຫ້​ບໍລິການ​ຕໍ່ໄປ​ໄດ້

ລວມ​ເຖິງ​ເມື່ອ​ວັນທີ 13 ມັງກອນ 2014 ໄດ້​ມີ​ການ​ເຜີຍແຜ່​ຂໍ້​ມູນ​ການ​ໂຈມ​ຕີ​ລະບົບ​​ເກມ​ອອນ​ໄລ​ຊື່​ດັ່ງ​ຫຼາຍ​ແຫ່ງ ເຊັ່ນ:  Battle.net, EA.com ຖືກ​ໂຈມ​ຕີ​ດ້ວຍ​ເທັກ​ນິກ Reflection DDoS Attack ແລະ​ ພົບ​ວ່າ​ປະລິມານ Bandwidth ສູງ​ສຸດ​ທີ​ໂຈມ​ຕີ​ໃນ​ເທື່ອ​ນີ້​ສູງ​ເຖິງ 100 Gbps ສ່ວນ Bandwidth ການ​ໂຈມ​ຕີສະເລ່ຍຢູ່​ທີ 7.3 Gbps ແລະ ​ລ່າ​ສຸດ​ ​ບໍລິສັດ Cloudfare ໄດ້ເປີດເຜີຍວ່າ (ບໍລິສັດ​ທີ​ເບິ່ງແຍງ​ເຄືອ​ຂ່າຍ​ໃຫຍ່​ທີສຸດ​ແຫ່ງ​ໜຶ່ງ​ຂອງ​ໂລກ) ຖືກ​ໂຈມ​ຕີ​ເຄືອ​ຂ່າຍ​ທີ​ມີ​ປະລິມານ​ການ​ໂຈມ​ຕີ​ສູງ​ສຸດ​ເຖິງ 400 Gbps ຊຶ່ງ​ນັບ​ວ່າ​ເປັນ​ການ​ໂຈມ​ຕີ​ທີ​ສູງ​ທີສຸດ​ເທື່ອ​ໜຶ່ງ​ຂອງ​ໂລກ ຫຼາຍກວ່າ​ເທື່ອ​ທີ່​ມີ​ການ​ໃຊ້​ເທັກ​ນິກ DNS Amplification Attack.

4. ຂໍ້ແນະນຳ

ພົບ​ວ່າ​ໃນ​ຊ໋ອບແວ NTP Server ເວີ​ຊັ່ນ 4.2.7 (ປະຈຸບັນ​ຍັງ​ຄົງ​ເປັນ​ເວີ​ຊັ່ນ​ທີ​ກຳ​ລັງ​ພັດທະນາ​ເປີດ​ໃຫ້​ດາວ​ໂຫລດ​ໃນ​ລັກສະນະ Beta) ໄດ້​ມີ​ການ​ຖອນ​ຟັງ​ຊັ່ນ​ການເຮັດວຽກຂອງ ‘monlist’ ເພື່ອ​ແກ້​ໄຂ​ບັນຫາ​ດັ່ງ​ກ່າວ​ດ້ວຍ ແຕ່​ຢ່າງໃດ​ກໍ່ຕາມ​ສຳລັບ​ຜູ້​ເບິ່ງແຍງ​ລະບົບ​ທີ​ບໍ່​ສາມາດ​ອັບ​ເດດ​ຊ໋ອບແວ ​ໃນ​ເວີ​ຊັ່ນ​ດັ່ງ​ກ່າວ​ໄດ້ ແຕ່​ຍັງ​ສາມາດ​ໃຊ້​ວິທີ​ການຕັ້ງ​ຄ່າ​ຕາມ​ລາຍ​ລະອຽດ​ດ້ານ​ລຸມ​ເພື່ອ​ລຸດ​ຜົນ​ກະທົບ​ຈາກ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ໃນ​ໄຟລ​ການຕັ້ງ​ຄ່າ​ຂອງ NTP Server (ໄຟລ​ຊື່ ntp.conf) ໂດຍ​ສາມາດ​ເລືອກ​ເຮັດ​ຂໍ້​ໃດ​ຂໍ້​ໜຶ່ງ​ກໍ່ໄດ້​ຕາມ​ຂໍ້​ມູນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້

 

1. ຕັ້ງ​ຄ່າ​ເພື່ອ​ປິດ​ການເຮັດວຽກຂອງ​ຟັງຊັ່ນ monlist

#ເພີ່ມ

disable monitor

 

2. [ຕັ້ງ​ຄ່າ​ເພື່ອ​ປິດ​ການ​ເອີ້ນໃຊ້​ງານ​ຟັງ​ຊັ່ນ​ການ​ອ່ານ​ຄ່າ​ຕ່າງໆ​ຂອງ NTP Server]

#ເພີ່ມ

 

restrict -4 default nomodify nopeer noquery notrap

restrict -6 default nomodify nopeer noquery notrap

 

ຈາກ​ນັ້ນ​ໃຫ້​ Restart ບໍລິການ​ຂອງ NTP Server ເພື່ອ​ໃຫ້​ລະບົບ​ໃຊ້​ງານ​ການຕັ້ງ​ຄ່າ​ໃໝ່ ແລະ ​ທົດສອບ​ເອີ້ນໃຊ້​ງານ​ຟັງ​ຊັ່ນ monlist ເບິ່ງ​ອີກ​ເທື່ອ ຈະ​ພົບ​ວ່າ​ບໍ່​ສາມາດ​ເອີ້ນໃຊ້​ງານ​ໄດ້​ອີກ​ຕໍ່ໄປ

 

ເອກະສານອ້າງອີງ 

  1. http://www.ntp.org
  1. http://thehackernews.com/2014/01/ddos-attack-NTP-server-reflection-protection.html
  2. http://thehackernews.com/2014/02/NTP-Distributed-Denial-of-Service-DDoS-attack.html

Porher 02 September 2020 4811 reads Print