在1月的第一周69%的DDoS攻击流量是NTP反射的结果。
上周早些时候,黑客们利用一种前所未见的技术攻下了“英雄联盟”“艺电”和其他的一些网络游戏服务器。这种技术使得针对阻绝服务(DoS)目标的垃圾流量大大增多。
这次攻击并非为海量数据淹没服务器的方式,这个自称DERP Trolling的攻击团伙,他们用的是向运行着网络时间协议(NTP)的时间同步服务器发送大量的小型数据请求这一方法。袭击者们透过把此类请求伪装成来自上述几个游戏站点之一的方式,从而能够随意控制流量的大小。一个原本8字节的伪造请求,最终反馈给受害者时通常会达到468字节,几经周折容量增长了58倍多。
“在12月以前,我们几乎从未听说过针对NTP的攻击,因为即便有此种攻击,也是微不足道的。” DoS防范服务“黑莲花”的CEO肖恩·马尔卡向我们如是说:“这种攻击微乎其微,主流报告里从未出现过,我们现在看到的是方法上的转变。”
这项技术在许多方面有点类似于服务器上探究了几年的DNS放大攻击,那项较为古老的DoS技术向请求特定站点IP地址的域名服务器发送伪造的请求,以启用域名服务器。DNS反射攻击增强了DoS活动的破坏力,向目标站点发送的反馈比攻击者发送的请求大50倍。
今年的第一周,NTP反射导致了大约69%的DoS小流量攻击,NTP攻击的平均流量是7.3千兆每秒,是十二月观察到的DoS攻击流量平均值的3倍多,连同DERP Trollng在Twitter上提出要求黑莲花专家观察到的攻击,他们估计这组攻击的总流量可达28G每秒。
NTP服务器帮助人们同步其服务器上的时间,从而确保时间增量的精确。最近,有人发现这项协议似乎遭遇了DoS攻击者制造的漏洞。幸运的是,NTP放大攻击相对来说比较容易反击,因为如果有任何不利影响,几乎所有的NTP流量就会封堵进而变得很小。工程师们只要过滤数据包就可以了,其他类型的DoS攻击则不易减轻,工程师们必须先从旨在击溃网站的流量中分离出合法数据。
黑莲花推荐网络操作者按照如下的做法减低NTP攻击的效力,其中包括运用流量控制器控制进入网络的流量。使用大规模分布式拒绝服务减缓系统,或是选择基于服务器的方法,在遭受分布式拒绝服务(DDoS)攻击时,保证有几千兆的流量可用。
【本文由大轩独家授权中国数字科技馆使用,未经许可请勿转载。商业或非商业使用请联系中国数字科技馆】