Resultados 1 al 3 de 3

Tema: NTP para ataques DDOS amplification. Identificacin, explotacin y mitigacin

  1. #1 NTP para ataques DDOS amplification. Identificacin, explotacin y mitigacin 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicacin
    Spaa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    En el captulo de hoy vamos a ver algn consejo a la hora de trabajar con los servidores NTP y como los maleantes pueden utilizarlo para hacer el mal !!!

    Para empezar, NTP es el protocolo utilizado para sincronizar equipos con un servidor...funciona por UDP. Cuando repasamos el protocolo UDP recordamos que no mantiene la conexin, solo enva el paquete y confa en su recepcin.

    Una de las amenazas mas reales que estamos sufriendo las organizaciones son los ataques de denegacin de servicio. El objetivo de estos ataques, como sabes, es generar el mayor trfico posible hacia nuestros sistemas para conseguir colapsarlo y hacer que est deje de funcionar.

    Vamos a imaginar que tenemos una conexin a Internet que nos proporciona 1kb de subida. Y tengo un servidor que procesa 10 kb de entrada. Con 10 conexiones como las mas colapsara el servidor. Esto es lo que hace el ataque de la famosa herramienta Loic de Anonymous y similares ataques syn flood.


    Que es la amplificacin? Imagina que por cada 1kb de subida que yo tengo, que envio al servidor, magicamente se multiplica por 10. Con una conexin como la mia colapsara los 10kb de capacidad del servidor, por lo que me es ms fcil realizar la denegacin de servicio.

    Vamos a usar un fallo o mala configuracin en servidores NTP accesibles en Internet que podemos usar para amplificar una peticin NTP y dirigirla como si la hubiera pedido una vctima, para que sea la vctima la que reciba la respuesta.

    Existe un comando en versiones antiguas de NTPd <4.2.17 que me permite en remoto, acceder al comando monlist y listar los ltimos 600 equipos que han realizado una peticin de tiempo.

    Vamos a probarlo con un equipo pblico en Internet vulnerable.
    Lo podemos realizar con el script NSE mon-list o directamente consultando el comando con el cliente ntp.




    Mediante esta peticin UDP que es muy pequea podemos recibir gran cantidad de informacin. En este servidor de pruebas que he encontrado solo hay un par de ips clientes que han consultado al servidor NTP, pero es suficiente para amplificar mi peticin. De una peticin pequea que hago me devuelve una respuesta ms grande.

    Aqu es donde vas a comprender porque se utilizan protocolos sobre UDP. Si yo realizo esa peticin falseando la direccin ip de origen, y en su lugar ingreso la ip de una vctima de nuestro ataque, la respuesta le llegar a la vctima. Hemos conseguido amplificar nuestra peticin a un "tercer equipo" que va a inundar de respuestas a la vctima. El ataque de denegacin de servicio lo realiza el servidor NTP mal configurado que permite esta consulta.

    Vamos a realizar una captura de red del trfico de salida para la peticin y otra para la respuesta para ver el ratio de amplificacin en bytes.


    Como se aprecia el ratio es muy pequeo, no llega ni a 1x2. Vamos a probar con otro servidor NTP expuesto con la mala configuracin o vulnerabilidad.


    El resultado de la captura de red lo dice todo.


    El factor de amplificacin para este servidor NTP es de x32. Deberamos corregir un poco estos valores porque realmente el tamao del paquete udp de la peticin es de 234 bytes.


    Al igual que con ataques de amplificacin DNS, cualquier servicio basado en UDP es "susceptible" a ser empleado por este procedimiento. El profesor Nolla en su blog tiene unos artculos sobre amplificacin ddos con servidores Quake3 que recomiendo leas.

    Como es lgico, en el caso de implementar un servidor NTPd accesible en Internet por la razn que sea, debes comprobar que no tienes una versin vulnerable, o al menos, deshabilitar el comando monlist.

    Existen listas pblicas en Pastebin con listados de servidores NTP mal configurados disponibles para nuestras perreras. Quizs muchos sean honeypots.

    De cara a defendernos del ataque, tenemos pocas posibilidades aunque si que podemos parar/loguear en nuestro firewall los paquetes udp 123 con un tamao de 482 bytes que es el tamao de cada paquete pero al final si el ataque persiste y no se implementa una medida de desviacin previa, con ms capacidad de procesamiento, podremos registrar y mitigar el ataque, pero no pararlo. El DDOS es lo que tiene !!!

    Como siempre, espero que os guste el artculo, gracias por leerme !!!

    Fuente. Inseguros
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Mar 2015
    Mensajes
    3
    Descargas
    0
    Uploads
    0
    esto es parecido al hoic?????????
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Nov 2015
    Mensajes
    10
    Descargas
    0
    Uploads
    0
    Very nice, it makes me understand more.
    download gclub
    Citar  
     

Temas similares

  1. Programas para realizar ataques DDoS?
    Por 3DX en el foro INTRUSION
    Respuestas: 2
    ltimo mensaje: 03-10-2015, 19:00
  2. Respuestas: 0
    ltimo mensaje: 20-08-2014, 12:01
  3. Respuestas: 3
    ltimo mensaje: 31-10-2011, 01:32
  4. La red responde con ataques DDoS
    Por 4v7n42 en el foro NOTICIAS
    Respuestas: 6
    ltimo mensaje: 12-12-2010, 23:30
  5. Respuestas: 0
    ltimo mensaje: 06-10-2009, 20:53

Marcadores

Marcadores

Permisos de publicacin

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •