Zneužití a zneužití serveru NTP - NTP server misuse and abuse

Zneužití a zneužití serveru NTP zahrnuje řadu postupů, které způsobují poškození nebo degradaci a Síťový časový protokol (NTP) server, od zaplavení provozem (ve skutečnosti DDoS útok) nebo porušení zásad přístupu serveru nebo NTP pravidla zapojení. Jeden incident byl označen NTP vandalství v otevřený dopis z Poul-Henning Kamp do router výrobce D-Link v roce 2006.[1] Tento termín byl později dalšími rozšířen, aby se zpětnou platností zahrnoval další incidenty. Neexistují však žádné důkazy o tom, že by některý z těchto problémů byl úmyslným vandalismem. Obvykle jsou způsobeny krátkozrakými nebo špatně zvolenými výchozími konfiguracemi.

A úmyslná forma zneužití serveru NTP přišel na vědomí na konci roku 2013, kdy byly NTP servery použity jako součást zesílení útoků odmítnutí služby. Některé servery NTP by reagovaly na jediný „monlist“ paket požadavku UDP, s pakety popisujícími až 600 přidružení. Použitím požadavku s a spoofed IP address útočníci mohli nasměrovat zesílený proud paketů do sítě. To vedlo k jednomu z největších distribuovaných útoků odmítnutí služby známých v té době.[2]

Běžné problémy s klientem NTP

Nejobtížnější problémy zahrnovaly adresy serverů NTP pevně zakódované v souboru firmware spotřebitelských síťových zařízení. Vzhledem k tomu, že významní výrobci a výrobci OEM vyrobili stovky tisíc zařízení využívajících NTP společně se zákazníky, kteří téměř nikdy upgradovali firmware těchto zařízení, budou problémy s bouřkami s dotazem NTP přetrvávat, dokud budou zařízení v provozu.

Jednou z obzvláště běžných softwarových chyb NTP je generování paketů dotazů v krátkých (méně než pěti sekundových) intervalech, dokud není přijata odpověď

  • Při umístění za agresivní firewally které blokují odpovědi serveru, vede tato implementace k nikdy nekončícímu proudu požadavků klientů na různě blokované servery NTP.
  • Tito nadměrně dychtiví klienti (zejména ti, kteří volají jednou za sekundu) obvykle tvoří více než 50% provozu veřejných serverů NTP, přestože jsou nepatrným zlomkem celkového počtu klientů.

I když by mohlo být technicky rozumné odeslat několik počátečních paketů v krátkých intervalech, je nezbytné pro zdraví jakékoli sítě, aby se opakované pokusy o připojení klienta generovaly logaritmicky nebo exponenciálně snižujícími se rychlostmi, aby se zabránilo odmítnutí služby.

Tento v protokolu exponenciální nebo logaritmické zálohování se vztahuje na jakýkoli protokol bez připojení, a rozšířeně na mnoho částí protokolů založených na připojení. Příklady této metody zálohování lze nalézt v TCP specifikace pro navázání spojení, sondování nulového okna a udržovací přenosy.

Pozoruhodné případy

Tardis a Trinity College v Dublinu

V říjnu 2002 vedl jeden z prvních známých případů zneužití časového serveru k problémům s webovým serverem na adrese Trinity College, Dublin. Provoz byl nakonec sledován nesprávně fungujícími kopiemi programu zvaného Tardis[3] s tisíci kopií po celém světě kontaktováním webového serveru a získáním časového razítka přes HTTP. Řešením bylo nakonec upravit konfiguraci webového serveru tak, aby poskytovala přizpůsobenou verzi domovské stránky (značně zmenšená) a vrátit falešnou časovou hodnotu, což způsobilo, že většina klientů zvolila jiný časový server.[4] K opravě tohoto problému byla později vydána aktualizovaná verze Tardis.[Citace je zapotřebí ]

Netgear a University of Wisconsin – Madison

První široce známý případ problémů se serverem NTP začal v květnu 2003, kdy Netgear hardwarové produkty zaplavily University of Wisconsin – Madison je NTP server s požadavky.[5] Pracovníci univerzity původně předpokládali, že se jedná o zlomyslnost distribuované odmítnutí služby zaútočili a podnikli kroky k zablokování povodně na hranici jejich sítě. Namísto snižování (jak to dělá většina útoků DDOS) se tok zvýšil a do června dosáhl 250 000 paketů za sekundu (150 megabitů za sekundu). Následné šetření odhalilo, že zdrojem problému byly čtyři modely routerů Netgear. Bylo zjištěno, že klient SNTP (Simple NTP) ve směrovačích má dvě závažné chyby. Nejprve se spoléhá na jediný server NTP (na University of Wisconsin – Madison), jehož IP adresa byla ve firmwaru pevně zakódována. Za druhé, dotazuje se serveru v intervalech jedné sekundy, dokud neobdrží odpověď. Bylo vyrobeno celkem 707 147 produktů s vadným klientem.

Společnost Netgear vydala aktualizace firmwaru pro ovlivněné produkty (DG814, ​​HR314, MR814 a RP614), které se dotazují na vlastní servery společnosti Netgear, dotazují se pouze jednou za deset minut a vzdávají se po pěti selháních. I když tato aktualizace opravuje chyby v původním klientovi SNTP, nevyřeší větší problém. Většina zákazníků nikdy neaktualizuje firmware svého routeru, zvláště pokud se zdá, že zařízení funguje správně. Server NTP University of Wisconsin – Madison nadále přijímá vysokou úroveň provozu ze směrovačů Netgear s občasnými záplavami až 100 000 paketů za sekundu.[Citace je zapotřebí ] Společnost Netgear věnovala 375 000 dolarů divizi informačních technologií University of Wisconsin – Madison za pomoc při identifikaci chyby.[Citace je zapotřebí ]

SMC a CSIRO

Také v roce 2003 přinutil další případ NTP servery EU Australan Organizace pro vědecký a průmyslový výzkum společenství (CSIRO ) Národní laboratoř měření pro veřejnost.[6] Ukázalo se, že provoz pochází ze špatného NTP implementace v některých SMC modely směrovačů, kde byla ve firmwaru integrována adresa IP serveru CSIRO. Společnost SMC vydala aktualizace firmwaru pro produkty: Je známo, že jsou ovlivněny modely 7004VBR a 7004VWBR.

D-Link a Poul-Henning Kamp

V roce 2005 Poul-Henning Kamp, manažer jediného dánština Stratum 1 NTP server, který je k dispozici široké veřejnosti, zaznamenal obrovský nárůst provozu a zjistil, že 75 až 90% pochází z routerových produktů společnosti D-Link. Servery NTP Stratum 1 přijímají svůj časový signál z přesného externího zdroje, jako je přijímač GPS, rádiové hodiny nebo kalibrované atomové hodiny. Podle konvence by časové servery Stratum 1 měly být používány pouze aplikacemi vyžadujícími extrémně přesná měření času, jako jsou vědecké aplikace nebo servery Stratum 2 s velkým počtem klientů.[7] Směrovač domácí sítě nesplňuje žádné z těchto kritérií. Politika přístupu serveru Kamp jej navíc výslovně omezila na servery přímo připojené k serveru Dánská internetová burza (DIX). Přímé použití tohoto a dalších serverů Stratum 1 směrovači D-Link mělo za následek obrovský nárůst provozu, zvýšení nákladů na šířku pásma a zatížení serveru.

V mnoha zemích jsou oficiální časomíry poskytovány vládními agenturami (např NIST ve Spojených státech.). Jelikož neexistuje žádný dánský ekvivalent, poskytuje Kamp svou časovou službu “pro bono publico ". Na oplátku DIX souhlasil s poskytnutím bezplatného připojení pro svůj časový server za předpokladu, že příslušná šířka pásma bude vzhledem k omezenému počtu serverů a potenciálních klientů relativně nízká. Se zvýšeným provozem způsobeným směrovači D-Link, DIX požádal, aby zaplatil roční poplatek za připojení ve výši 54,000 DKK[Citace je zapotřebí ] (přibližně 9 920 USD nebo €7,230[8][9]).

Kamp kontaktoval D-Link v listopadu 2005 v naději, že je přiměje k vyřešení problému a kompenzaci za čas a peníze, které vynaložil na sledování problému a poplatky za šířku pásma způsobené produkty D-Link. Společnost popřela jakýkoli problém, obvinila ho z vydírání a nabídla částku odškodnění, která podle Kampe nepokrývala jeho výdaje. Dne 7. dubna 2006 zveřejnil Kamp příběh na svých webových stránkách.[10] Příběh zachytil Slashdot, Reddit a další zpravodajské weby. Po zveřejnění si Kamp uvědomil, že směrovače D-Link přímo dotazují další časové servery Stratum 1, čímž porušují zásady přístupu nejméně 43 z nich v tomto procesu. 27. dubna 2006 společnosti D-Link a Kamp oznámily, že svůj spor „smírně vyřešily“.[11]

Poskytovatelé IT a swisstime.ethz.ch

Více než 20 let ETH Curych poskytl otevřený přístup k časovému serveru swisstime.ethz.ch pro synchronizaci provozního času. Z důvodu nadměrného využití šířky pásma, v průměru až 20 GB / den, je nutné nasměrovat externí použití na veřejné fondy časových serverů, jako je ch.pool.ntp.org. Zneužití způsobené většinou poskytovateli IT synchronizujícími jejich klientskou infrastrukturu způsobilo neobvykle vysoké nároky na síťový provoz, což způsobilo, že ETH přijala účinná opatření. Od podzimu 2012, dostupnost swisstime.ethz.ch byla změněna na uzavřený přístup. Od začátku července 2013, je u protokolu NTP zcela zablokován přístup na server.

Snapchat pro iOS

V prosinci 2016 zaznamenala komunita operátorů NTPPool.org od 13. prosince významný nárůst provozu NTP.[12]

Šetření ukázalo, že Snapchat aplikace běžící na iOS byl náchylný k dotazování Všechno Servery NTP, které byly napevno zakódovány do knihovny NTP iOS třetí strany a že požadavek na NTP doménu následoval po zaplavení požadavku NTP.[13]Po kontaktování společnosti Snap Inc.[14] jejich vývojáři problém vyřešili do 24 hodin po oznámení aktualizací jejich aplikace.[15] Jako omluvu a jako pomoc při řešení zátěže, kterou generovali, společnost Snap také přispěla časovými servery do fondů NTP v Austrálii a Jižní Americe.[16]

Jako pozitivní vedlejší efekt je použitá knihovna NTP otevřeným zdrojovým kódem a byla vylepšena výchozí nastavení náchylná k chybám[17] po zpětné vazbě od komunity NTP.[18][19][úplná citace nutná ]

Testování připojení na prodlužovačích Wi-Fi TP-Link

Firmware pro TP-Link Prodlužovače Wi-Fi v letech 2016 a 2017 napevno zakódováno pět serverů NTP, včetně Univerzita Fukuoka v Japonsku a Austrálii a na Novém Zélandu, skupiny serverů NTP, a opakovaně by vydal jeden požadavek NTP a pět DNS žádá každých pět sekund a spotřebuje 0,72 GB za měsíc na zařízení.[20] Přebytečné požadavky byly zneužity k napájení kontroly připojení k Internetu, která zobrazovala stav připojení zařízení v jejich webovém rozhraní pro správu.[20]

Tento problém byl uznán japonskou pobočkou společnosti TP-Link, která tlačila na společnost, aby redesignovala test připojení a vydala aktualizace firmwaru, které problém řeší u postižených zařízení.[21] Dotčená zařízení pravděpodobně nenainstalují nový firmware, protože WiFi prodlužovače TP-Link neinstalují aktualizace firmwaru automaticky ani neinformují vlastníka o dostupnosti aktualizace firmwaru.[22] Dostupnost aktualizace firmwaru TP-Link se také liší podle země, přestože se problém týká všech prodlužovačů dosahu WiFi prodávaných po celém světě.[20][22]

U serverů univerzity ve Fukuoka se uvádí, že se někdy mezi únorem a dubnem 2018 ukončují, a měly by být odstraněny ze seznamů veřejných časových serverů NTP.[23]

Technická řešení

Po těchto událostech vyšlo najevo, že kromě uvedení přístupových zásad serveru jsou zapotřebí technické prostředky k vynucení zásad. Jeden takový mechanismus byl poskytnut rozšířením sémantiky a Pole Identifikátor odkazu v paketu NTP, když a Stratové pole je 0.

V lednu 2006 RFC 4330 byla zveřejněna a aktualizovala podrobnosti SNTP protokolu, ale také prozatímně vyjasnit a rozšířit související protokol NTP v některých oblastech. Oddíly 8 až 11 RFC 4330 mají pro toto téma zvláštní význam (balíček Kiss-o'-Death, On Being a Good Network Citizen, Best Practices, Security Considerations). Oddíl 8 představuje balíčky Kiss-o'-Death:

V NTPv4 a SNTPv4 se pakety tohoto druhu nazývají pakety Kiss-o'-Death (KoD) a zprávy ASCII, které přenášejí, se nazývají polibkové kódy. Pakety KoD dostaly své jméno, protože dřívějším používáním bylo říkat klientům, aby přestali posílat pakety, které porušují řízení přístupu na server.

Nové požadavky protokolu NTP nefungují zpětně a staří klienti a implementace dřívější verze protokolu KoD neuznávají a jednají podle něj. Prozatím neexistují žádné dobré technické prostředky, které by zabránily zneužití serverů NTP.

V roce 2015, kvůli možným útokům na Network Protocol Time,[24] Zabezpečení času v síti pro NTP (Koncept internetu draft-ietf-ntp-using-nts-for-ntp-19)[25] bylo navrženo pomocí a Zabezpečení transportní vrstvy implementace. 21. června 2019 Cloudflare zahájil zkušební službu po celém světě,[26] na základě předchozího konceptu internetu.[27]

Reference

  1. ^ Kamp, Poul-Henning (04.04.2006). „Otevřený dopis společnosti D-Link o jejich vandalismu NTP“. FreeBSD. Archivovány od originál dne 8. dubna 2006. Citováno 2006-04-08.
  2. ^ Gallagher, Sean (02.02.2014). „Největší DDoS, jaké kdy bylo zaměřeno na síť pro doručování obsahu Cloudflare“. Ars Technica. Archivováno z původního dne 2014-03-07. Citováno 2014-03-08.
  3. ^ „Tardis 2000“. Archivováno z původního dne 2019-08-17. Citováno 2019-06-13.
  4. ^ Malone, David (duben 2006). „Nežádoucí HTTP: Kdo má čas?“ (PDF). ;přihlásit se:. Sdružení USENIX. Archivováno (PDF) z původního dne 2013-07-28. Citováno 2012-07-24.
  5. ^ „Chybné routery zaplavily internetový časový server University of Wisconsin, Netgear spolupracuje s University na řešení“. University of Wisconsin – Madison. Archivovány od originál dne 10.04.2006. Citováno 2020-07-06.
  6. ^ „Síťová zařízení téměř sundávají atomové hodiny“. Taborcommunications.com. 11.7.2003. Archivovány od originál dne 04.02.2013. Citováno 2009-07-21.
  7. ^ Lester, Andy (2006-02-19). „Pomozte zachránit ohrožené časové servery“. O'Reilly Net. Archivovány od originál dne 18. 8. 2007. Citováno 2007-08-07.
  8. ^ „Převodník měn - Google Finance“. Archivováno z původního dne 2017-03-31. Citováno 2016-11-11.
  9. ^ „Převodník měn - Google Finance“. Archivováno z původního dne 2017-03-31. Citováno 2016-11-11.
  10. ^ Kamp, Poul-Henning (2006-04-27). „Open Letter to D-Link about their NTP Vandalism: 2006-04-27 Update“. FreeBSD. Archivovány od originál dne 2006-04-27. Citováno 2007-08-07.
  11. ^ Leyden, John (11. 5. 2006). „D-Link urovnává spory s časovým geekem'". Registrace. Archivováno od originálu 10. 5. 2019. Citováno 2020-05-26.
  12. ^ „Nedávné zvýšení provozu fondu NTP: 20. 12. 2016“. Pool NTP. 2016-12-10. Archivováno od originálu dne 2016-12-21. Citováno 2016-12-20.
  13. ^ „Archiv adresářů NANOG: Nedávný nárůst provozu fondu NTP: 19. 12. 2016“. NANOG / opendac z webu shaw.ca. 19. 12. 2016. Archivováno z původního dne 2017-09-24. Citováno 2016-12-20.
  14. ^ „Archiv adresářů NANOG: Nedávný nárůst provozu fondu NTP: 2016-12-20 18:58:57“. NANOG / Jad Boutros ze společnosti Snap inc. 2016-12-20. Archivováno z původního dne 2017-04-19. Citováno 2017-04-19.
  15. ^ „Archiv adresářů NANOG: Nedávné zvýšení provozu fondu NTP: 2016-12-20 22:37:04“. NANOG / Jad Boutros ze společnosti Snap inc. 2016-12-20. Archivováno od originálu na 2017-04-20. Citováno 2017-04-20.
  16. ^ „Archiv adresářů NANOG: Nedávný nárůst provozu fondu NTP: 2016-12-21 02:21:23“. NANOG / Jad Boutros ze společnosti Snap inc. 2016-12-21. Archivováno z původního dne 2017-04-19. Citováno 2017-04-19.
  17. ^ „Knihovna iOS NTP: přejít na v1.1.4; git commit na github.com“. GitHub. 2016-12-20. Archivováno z původního dne 2020-07-05. Citováno 2017-04-19.
  18. ^ „Knihovna iOS NTP: Problém # 47: Napevno pojmenované názvy fondů NTP; github.com“. GitHub. 2016-12-19. Archivováno z původního dne 2020-07-05. Citováno 2017-04-19.
  19. ^ „Protokol incidentů fondu NTP - nadměrné zatížení serverů NTP“. Pool NTP. 2016-12-30. Archivováno z původního dne 2017-04-19. Citováno 2017-04-19.
  20. ^ A b C Aleksandersen, Daniel (23. 11. 2017). „Firmware zesilovače TP-Link promrhá 715 MB / měsíc“. Ctrl Blog. Archivováno od originálu na 2017-12-20. Citováno 2017-12-21.
  21. ^ „TP-Link 製 無線 LAN 中 継 器 に よ る NTP サ ー バ ー へ の ア ク セ ス に 関 し て“ (v japonštině). TP-Link. 2017-12-20. Archivováno od originálu na 2017-12-20. Citováno 2017-12-21.
  22. ^ A b Aleksandersen, Daniel (2017-11-20). „TP-Link poskytuje zastaralý nebo vůbec žádný firmware na 30% svých evropských webů“. Ctrl Blog. Archivováno od originálu na 2017-12-22. Citováno 2017-12-21.
  23. ^ „福岡 大学 に お け る 公開 用 NTP サ ー ビ ス の 現状 と 課題“ (pdf) (v japonštině). Univerzita Fukuoka. Archivováno (PDF) od originálu na 2018-01-29. Citováno 2018-01-29.
  24. ^ Malhotra, Aanchal; Cohen, Isaac E .; Brakke, Erik; Goldberg, Sharon (21.10.2015). „Útok na síťový časový protokol“ (pdf). Bostonská univerzita. Archivováno (PDF) z původního dne 2019-05-02. Citováno 2019-06-23. Zkoumáme riziko, že síťoví útočníci nevyužijí neověřený provoz Network Time Protocol (NTP), aby změnili čas na klientských systémech
  25. ^ Franke, D .; Sibold, D .; Teichel, K .; Dansarie, M .; Sundblad, R. (30. dubna 2019). Zabezpečení síťového času pro síťový časový protokol. IETF. I-D draft-ietf-ntp-using-nts-for-ntp-19. Archivovány od originál (html) dne 13. června 2019. Citováno 23. června 2019.
  26. ^ Malhotra, Aanchal (2019-06-21). „Představujeme time.cloudflare.com“. Cloudflare Blog. Archivovány od originál (html) dne 2019-06-21. Citováno 2019-06-23. Používáme naši globální síť, abychom poskytli výhodu latence a přesnosti. Našich 180 míst po celém světě používá anycast k automatickému směrování vašich paketů na náš nejbližší server. Všechny naše servery jsou synchronizovány s poskytovateli časových služeb stratum 1 a poté nabízejí NTP široké veřejnosti, podobně jako fungují ostatní veřejní poskytovatelé NTP.
  27. ^ Franke, D .; Sibold, D .; Teichel, K .; Dansarie, M .; Sundblad, R. (17. dubna 2019). Zabezpečení síťového času pro síťový časový protokol. IETF. I-D draft-ietf-ntp-using-nts-for-ntp-18. Archivovány od originál (html) dne 15. června 2019. Citováno 23. června 2019.

externí odkazy