美國安局警告:透過定時伺服器 NTP 的新 DDoS 駭客攻擊手法

作者 | 發布日期 2014 年 02 月 11 日 13:29 | 分類 網路
04922ce84f9c5db7610a6a3397b65a81

今年初曾經爆發一起針對遊戲伺服器的大規模攻擊事件,包括 EA Origin 、《英雄聯盟》、Valve 的《Dota 2》甚至是 Battle.Net 等遊戲服務都因為遭到攻擊而無法運作。而美國國土安全局旗下的電腦警備小組(US CERT)也在年初針對此類攻擊提出警告,認為這個全新的 DDoS 攻擊將會成為資安方面的絕大漏洞。




此大規模攻擊事件的起源之一,就是來自於一個專以實況遊戲著名的玩家「Phantomlord」(台灣暱稱為鬼王),在 Twitch 實況平台展示玩遊戲的時候,被一個稱為 DERP 的駭客集團盯上,當鬼王在進行《英雄聯盟》的時候,駭客就將該遊戲的伺服器擊垮,讓他沒辦法順利進行遊戲,當鬼王準備換到《Dota 2》進行遊戲時,DERP 再度用 DDoS 攻擊該遊戲伺服器打垮。

DERP 藉由這個著名的實況玩家,展示他們擁有擊垮各種網路安全服務的能力,這個事件在之後越演越烈,從一個單純駭客展示攻擊能力的資安事件,成為 US CERT 提出警告的網路危機,成為全球網路史上最受人矚目的攻擊事件之一。

到底這個 DDoS 攻擊手法有何不同?

為什麼美國國安局要特別針對這種攻擊手法提出警告?

以往 DDoS 攻擊主要是透過殭屍網路實行,讓駭客藉由木馬或病毒等方式侵入並控制其他人的電腦,讓這些電腦同時對伺服器傳輸封包,導致伺服器無法運作而掛點(例如遠通宣稱自己被攻擊,卻被抓包說謊的 82 億次攻擊)。

但這次的 DDoS 事件卻完全不同,駭客已經不再利用殭屍網路等方式進行攻擊,而是利用偽裝欺瞞(spoofing)的方式,讓全世界的校時伺服器(Network Time Protocol Server,簡稱 NTP)同時對伺服器傳輸大量資料,讓伺服器收到大量非自行發出的校時需求封包而掛點。

由於電腦內部間的震盪器在製作過程中都會有些誤差,導致許多電腦或伺服器的時間快慢不一,每一天都可能累積一點點微小的時間誤差。而校時伺服器就是利用衛星訊號等方式獲取正確的時間,讓一些需要準確時間的服務伺服器(例如金融業、電信業或是遊戲業),能夠藉由傳送需求給校時伺服器,進而獲得正確的時間調整,確保系統日誌與交易時間能一致。

全世界有許多 NTP 服務存在,而相較於其他的安全措施,許多伺服器容易在這個方面掉以輕心,而駭客就是利用此點,偽裝需求封包傳給這些伺服器,讓他們傳輸大量不必要的校時需求封包,而伺服器就會因為承載不住如此大量的封包而當機。

需要校時服務的企業如何保護自己?

據科技新報採訪資安專家陳昱崇 Zero Chen 表示:「如果各企業有使用校時伺服器的需要,建議可以建構中控校時伺服器,僅透過中控伺服器對外進行校時並且做好相關存取限制,僅允許連結至設定的目標伺服器並不提供給外部進行校時,內部待校時之伺服器一律設定連至中控伺服器進行校時,且做好相同之存取限制。」

「如此將可減少成為Reflection DDOS幫兇之風險,但若是自身遭受這類型的攻擊,倘若企業所具備之網路流量及設備無法承受,只有通知ISP及TWCERT等單位協助處理,畢竟真要防禦DDOS攻擊只有透過國內外各ISP協防才是最有效的防治方式。」

補充:歐洲最大規模 DDoS 攻擊

根據 ITHome 的新聞中指出,最近 CloudFire 的客戶就受到藉由 NTP 伺服器傳來的 DDoS 攻擊,連續兩小時受到 400G 流量轟炸,導致整個歐洲網路因而延遲,這個流量數據也堪稱歐洲史上最大 DDoS 攻擊之一。

圖片來源:Vice.com

資料來源:

關鍵字: , , ,

發表迴響