主页 > 人脸奥秘 >美国安局警告:透过定时伺服器 NTP 的新 DDoS 骇客攻击手法 >

美国安局警告:透过定时伺服器 NTP 的新 DDoS 骇客攻击手法
2020-07-30

美国安局警告:透过定时伺服器 NTP 的新 DDoS 骇客攻击手法

今年初曾经爆发一起针对游戏伺服器的大规模攻击事件,包括 EA Origin 、《英雄联盟》、Valve 的《Dota 2》甚至是 Battle.Net 等游戏服务都因为遭到攻击而无法运作。而美国国土安全局旗下的电脑警备小组(US CERT)也在年初针对此类攻击提出警告,认为这个全新的 DDoS 攻击将会成为资安方面的绝大漏洞。

此大规模攻击事件的起源之一,就是来自于一个专以实况游戏着名的玩家「Phantomlord」(台湾暱称为鬼王),在 Twitch 实况平台展示玩游戏的时候,被一个称为 DERP 的骇客集团盯上,当鬼王在进行《英雄联盟》的时候,骇客就将该游戏的伺服器击垮,让他没办法顺利进行游戏,当鬼王準备换到《Dota 2》进行游戏时,DERP 再度用 DDoS 攻击该游戏伺服器打垮。

DERP 藉由这个着名的实况玩家,展示他们拥有击垮各种网路安全服务的能力,这个事件在之后越演越烈,从一个单纯骇客展示攻击能力的资安事件,成为 US CERT 提出警告的网路危机,成为全球网路史上最受人瞩目的攻击事件之一。

到底这个 DDoS 攻击手法有何不同?

为什幺美国国安局要特别针对这种攻击手法提出警告?

以往 DDoS 攻击主要是透过殭尸网路实行,让骇客藉由木马或病毒等方式侵入并控制其他人的电脑,让这些电脑同时对伺服器传输封包,导致伺服器无法运作而挂点(例如远通宣称自己被攻击,却被抓包说谎的 82 亿次攻击)。

但这次的 DDoS 事件却完全不同,骇客已经不再利用殭尸网路等方式进行攻击,而是利用伪装欺瞒(spoofing)的方式,让全世界的校时伺服器(Network Time Protocol Server,简称 NTP)同时对伺服器传输大量资料,让伺服器收到大量非自行发出的校时需求封包而挂点。

由于电脑内部间的震荡器在製作过程中都会有些误差,导致许多电脑或伺服器的时间快慢不一,每一天都可能累积一点点微小的时间误差。而校时伺服器就是利用卫星讯号等方式获取正确的时间,让一些需要準确时间的服务伺服器(例如金融业、电信业或是游戏业),能够藉由传送需求给校时伺服器,进而获得正确的时间调整,确保系统日誌与交易时间能一致。

全世界有许多 NTP 服务存在,而相较于其他的安全措施,许多伺服器容易在这个方面掉以轻心,而骇客就是利用此点,伪装需求封包传给这些伺服器,让他们传输大量不必要的校时需求封包,而伺服器就会因为承载不住如此大量的封包而当机。

需要校时服务的企业如何保护自己?

据科技新报採访资安专家陈昱崇 Zero Chen 表示:「如果各企业有使用校时伺服器的需要,建议可以建构中控校时伺服器,仅透过中控伺服器对外进行校时并且做好相关存取限制,仅允许连结至设定的目标伺服器并不提供给外部进行校时,内部待校时之伺服器一律设定连至中控伺服器进行校时,且做好相同之存取限制。」

「如此将可减少成为Reflection DDOS帮兇之风险,但若是自身遭受这类型的攻击,倘若企业所具备之网路流量及设备无法承受,只有通知ISP及TWCERT等单位协助处理,毕竟真要防御DDOS攻击只有透过国内外各ISP协防才是最有效的防治方式。」

补充:欧洲最大规模 DDoS 攻击

根据 ITHome 的新闻中指出,最近 CloudFire 的客户就受到藉由 NTP 伺服器传来的 DDoS 攻击,连续两小时受到 400G 流量轰炸,导致整个欧洲网路因而延迟,这个流量数据也堪称欧洲史上最大 DDoS 攻击之一。

图片来源:Vice.com


上一篇:
下一篇: