Kostenlose Hilfe gegen DDoS via NTP-Server

Originalartikel von Ben April, Senior Threat Researcher

Immer häufiger missbrauchen Kriminelle das NTP (Network Time Protocol) für Distributed Denial of Service (DDoS)-Angriffe. Dieses Internet-Protokoll ist nicht so bekannt wie DNS oder HTTP, doch deshalb nicht weniger wichtig. Es gibt natürlich auch Möglichkeiten, sich gegen diese Angriffe zu wappnen.
NTP dient der Synchronisierung der Uhrzeit zwischen mehreren vernetzten Geräten. Gäbe es den Standard nicht, so müssten die Anwender die Uhren auf ihren Computern immer noch manuell setzen.

Die Hauptfunktion von NTP besteht darin, die Uhrzeit aus hochpräzisen Quellen wie GPS oder Atomuhren an kompatible Geräte zu weiterzugeben. Dies ist deshalb nötig, weil Quarzuhren üblicherweise eine Fehlerrate von etwa 1 ppm (Parts per Million) oder eine Abweichung von einer Mikrosekunde pro Sekunde aufweisen. Das führt zu etwa einer halben Sekunde Abweichung pro Monat. Das klingt zwar nach sehr wenig, doch bei verteilten und geclusterten Systemen, ist eine genaue Zeit von entscheidender Bedeutung.

NTP tauscht UDP-Pakete mit Kommunikationspartnern aus, um die Uhrzeiten zu vergleichen. Ein gut konfigurierter Client sucht bei drei oder mehr Systemen mit genauerer Uhrzeit, um seine eigene Uhr gegen einen verlässlichen Zeitgeber abzugleichen. Somit kann sich die Systemzeit langsam ändern, ohne den Betrieb laufender Software zu beeinträchtigen.

Kriminelle missbrauchen diesen wichtigen Dienst für DDoS-Angriffe. NTP-Server sind im Allgemeinen öffentlich zugänglich und akzeptieren Verbindungen von jedermann. Über einen monlist-Befehl, der via UDP an einen NTP-Server geschickt wird, lassen sich alle kürzlich kontaktierten Kommunikationspartner abfragen. Für Troubleshooting eine nützliche Möglichkeit, die aber auch Angreifern perfekt ins Handwerkszeug passt. Sie schicken ein kleines Paket mit einer gefälschten Absenderadresse, und der Server sendet diesem angeblichen Absender eine Unmenge an Daten. Je „beschäftigter“ der Server ist, desto umfangreicher fallen die Antworten aus.

Gegenmaßnahmen

IT-Administratoren können es durch verschiedene Maßnahmen vermeiden, ungewollt zu Komplizen solcher Angriffe zu werden. Zum einen sollten sie nicht genutzte Dienste abschalten. Dient ein Computer nicht als NTP-Server, sollte auch keine NTP-Serversoftware darauf laufen. Dasselbe gilt für weitere nicht verwendete Dienste und Protokolle ebenfalls.

Zum anderen sollten Verantwortliche sich die Konfiguration ihrer Dienste genau überlegen. Beispielsweise ist in vielen Fällen der monlist-Befehl standardmäßig aktiviert.

Und schließlich ist es wichtig, IP-Spoofing entdecken und blockieren zu können. BCP-38 (Network Ingress Filtering) als Maßnahme gilt als schwierig. Wichtig dabei ist es, sich lediglich auf die Netzwerkaußengrenzen zu konzentrieren. In einer vereinfachten Version kann der Administrator das Edge-Routing-Gerät so konfigurieren, dass es ankommende Pakete von einer Schnittstelle nur dann erlaubt, wenn eine Antwort auf das Paket auch wieder an jene Schnittstelle geroutet werden kann. Damit lässt sich nichr nur verhinden, dass NTP-, CHARGEN– und DNS-Spoofing-Angriffe die Unternehmens-Netzwerksysteme dafür missbrauchen, sondern auch jedes IP-Spoofing wird daran gehindert, das Netzwerk zu durchqueren.

Das kostenlose BCP-38 gibt es seit 2000 und ist dafür bekannt, seither die meisten DDoS-Aktivitäten gestoppt zu haben. Allerdings ist für die Anwendung technisches Wissen erforderlich. Zwar kann die Technik Angriffe auf die firmeneigenen Assets verhindern, doch nicht auf das Unternehmen selbst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*