美国安全局警告:透过定时服务器NTP的新DDOS骇客攻击手法
今年初曾经爆发一起针对游戏服务器的大规模攻击事件,包括 EA Origin 、《英雄联盟》、Valve 的《Dota 2》甚至是 Battle.Net 等游戏服务都因为遭到攻击而无法运作。而美国国土安全局旗下的电脑警备小组(US CERT)也在年初针对此类攻击提出警告,认为这个全新的 DDoS 攻击将会成为资安方面的绝大漏洞。此大规模攻击事件的起源之一,就是来自于一个专以实况游戏著名的玩家“Phantomlord”(台湾昵称为鬼王),在 Twitch 实况平台展示玩游戏的时候,被一个称为 DERP 的骇客集团盯上,当鬼王在进行《英雄联盟》的时候,骇客就将该游戏的服务器击垮,让他没办法顺利进行游戏,当鬼王准备换到《Dota 2》进行游戏时,DERP 再度用 DDoS 攻击该游戏服务器打垮。DERP 藉由这个著名的实况玩家,展示他们拥有击垮各种网络安全服务的能力,这个事件在之后越演越烈,从一个单纯骇客展示攻击能力的资安事件,成为 US CERT 提出警告的网络危机,成为全球网络史上最受人瞩目的攻击事件之一。到底这个 DDoS 攻击手法有何不同?为什么美国国安局要特别针对这种攻击手法提出警告?以往 DDoS 攻击主要是透过僵尸网络实行,让骇客藉由木马或病毒等方式侵入并控制其他人的电脑,让这些电脑同时对服务器传输封包,导致服务器无法运作而挂点(例如远通宣称自己被攻击,却被抓包说谎的 82 亿次攻击)。但这次的 DDoS 事件却完全不同,骇客已经不再利用僵尸网络等方式进行攻击,而是利用伪装欺瞒(spoofing)的方式,让全世界的校时服务器(Network Time Protocol Server,简称 NTP)同时对服务器传输大量资料,让服务器收到大量非自行发出的校时需求封包而挂点。由于电脑内部间的震荡器在制作过程中都会有些误差,导致许多电脑或服务器的时间快慢不一,每一天都可能累积一点点微小的时间误差。而校时服务器就是利用卫星讯号等方式获取正确的时间,让一些需要准确时间的服务服务器(例如金融业、电信业或是游戏业),能够藉由传送需求给校时服务器,进而获得正确的时间调整,确保系统日志与交易时间能一致。全世界有许多 NTP 服务存在,而相较于其他的安全措施,许多服务器容易在这个方面掉以轻心,而骇客就是利用此点,伪装需求封包传给这些服务器,让他们传输大量不必要的校时需求封包,而服务器就会因为承载不住如此大量的封包而当机。需要校时服务的企业如何保护自己?据科技新报采访资安专家陈昱崇 Zero Chen 表示:“如果各企业有使用校时服务器的需要,建议可以建构中控校时服务器,仅透过中控服务器对外进行校时并且做好相关存取限制,仅允许连结至设定的目标服务器并不提供给外部进行校时,内部待校时之服务器一律设定连至中控服务器进行校时,且做好相同之存取限制。”“如此将可减少成为Reflection DDOS帮凶之风险,但若是自身遭受这类型的攻击,倘若企业所具备之网络流量及设备无法承受,只有通知ISP及TWCERT等单位协助处理,毕竟真要防御DDOS攻击只有透过国内外各ISP协防才是最有效的防治方式。" 好帖要顶,楼主的头像还是不错滴http://forumimage.org/images/icon01.jpghttp://forumimage.org/images/icon02.jpghttp://forumimage.org/images/icon03.jpghttp://forumimage.org/images/icon04.jpghttp://forumimage.org/images/icon05.jpghttp://forumimage.org/images/icon06.jpghttp://forumimage.org/images/icon07.jpghttp://forumimage.org/images/icon08.jpghttp://forumimage.org/images/icon09.jpghttp://forumimage.org/images/icon10.jpghttp://forumimage.org/images/icon11.jpghttp://forumimage.org/images/icon12.jpghttp://forumimage.org/images/icon13.jpghttp://forumimage.org/images/icon14.jpghttp://forumimage.org/images/icon15.jpg
页:
[1]