1网络时间协议现新漏洞
最近,Google的安全研究人员发现,网络时间协议(NTP协议)出现了一些新的严重漏洞,NTP 4.2.8之前的版本均受影响,黑客可以利用这些漏洞展开远程攻击。
网络时间协议现新漏洞 可用于DDoS攻击
网络时间协议现新漏洞
NTP协议是用于计算机系统之间的一个网络时间同步协议。在NTP 4.2.8之前的版本都会受到此次漏洞影响影响。更为严重的是,研究人员已经真实环境下发现了真实攻击案例以及相应的漏洞利用程序(EXP)。在这一系列NTP协议的漏洞里,包括了远程缓冲区溢出等严重问题,黑客可以轻松地将这些使用老版本NTP服务的服务器黑掉。
漏洞可以被远程利用,漏洞利用程序(EXP)也已经在地下黑市广为流传。黑客只需要发送单一的数据包,就可以对NTP缓冲区溢出进而执行恶意代码,最后对NTPD进程的进行系统权限提升操作。
在之前的攻击事件中,攻击者往往利用NTP协议漏洞进行DDoS攻击,比如在2013年圣诞节就曾出现过一系列NTP反射型DDoS攻击案例。NTP使用的UDP 123端口包含一个名为monlist模块,NTP服务器收到monlist请求后最多可以返回100个响应包。
因此攻击者通过伪造受害主机的IP地址,向全网的NTP服务器发送monlist请求,NTP服务器进而向受害主机返回大量的数据包,造成其网络拥塞。这是一种典型的分布式反射拒绝服务(DRDoS)攻击方式。
2NTP漏洞被用于DDoS攻击的手法
NTP漏洞被用于DDoS攻击的手法
以往DDoS攻击主要是通过僵尸网络实行,让骇客借由木马或病毒等方式侵入并控制其他人的电脑,让这些电脑同时对服务器传输封包,导致服务器无法运作而当机。
而通过NTP漏洞,黑客已经不再利用僵尸网络等方式进行攻击,而是利用伪装欺骗(spoofing)的方式,让全世界的校时服务器(Network Time Protocol Server,简称NTP)同时对服务器传输大量资料,让服务器收到大量非自行发出的校时需求封包而当机。
由于电脑内部间的震荡器在制作过程中都会有些误差,导致许多电脑或服务器的时间快慢不一,每一天都可能累积一点点微小的时间误差。而校时服务器就是利用卫星讯号等方式获取正确的时间,让一些需要准确时间的服务服务器(例如金融业、电信业或是游戏业),能够借由传送需求给校时服务器,进而获得正确的时间调整,确保系统日志与交易时间能一致。
全世界有许多NTP服务存在,而相较于其他的安全措施,许多服务器容易在这个方面掉以轻心,而骇客就是利用此点,伪装需求封包传给这些服务器,让他们传输大量不必要的校时需求封包,而服务器就会因为承载不住如此大量的封包而当机。
