近期,CNCERT监测到我国公共互联网上发生多起NTP反射放大攻击事件,攻击流量逐步增大,且有进一步扩大蔓延的趋势。CNCERT还收到日本计算机应急响应组织(JPCERT)通报,称近期日本国内也发生了多起类似事件。同时,中国电信报告,近日网内此类攻击事件流量高达300G。现将预警信息通报如下:
一、NTP和NTP反射放大攻击
NTP是网络时间协议(Network Time Protocol)的简称,它可以使计算机对其服务器或时钟源(如石英钟、GPS等)做同步化,提供精准度的时间校正。
NTP使用UDP 123端口,其包含一个 monlist 功能,NTP 服务器收到monlist请求后最多会返回100个响应包,因此攻击主机可伪造受害主机的IP地址,向网上的NTP服务器发送monlist请求,NTP 服务器向受害主机返回大量的数据包从而造成其网络拥塞,从而达到攻击目的,其反射放大效果可达200倍。这是一种典型的分布式反射拒绝服务(DRDoS)攻击方式。
NTP DRDoS攻击给互联网的正常安全运行带来了极大影响。一方面,利用NTP服务可以把攻击流量轻易放大几十到几百倍,一旦被黑客大规模利用,耗尽NTP服务器和路由器的计算资源,耗费掉有限的互联网带宽;另一方面,DRDoS攻击隐藏了僵尸主机的IP地址,极大地增加了基础电信企业对DRDoS攻击追踪溯源的难度,给互联网稳定运行带来巨大威胁。
二、近期NTP DRDoS攻击监测情况
(一)CNCERT监测情况
经CNCERT监测数据初步分析,互联网上开放UDP 123端口的服务器约有80万台。其中,频繁被请求的服务器约为1800台,粗略计算,若这 1800台NTP服务器每台均收到1M的请求流量,总共会反射发出360G的攻击流量,造成互联网严重阻塞。在监测发现的被请求次数最多的前50个NTP 服务器,其IP地址主要位于美国(56\%)和中国(26\%)。
(二)国外相关机构监测情况
2月,CNCERT接到JPCERT通报,称从2013年11月起,日本多个机构监测到互联网上发生多起NTP DRDoS攻击事件。但目前针对NTP服务器的攻击流量较小,且攻击源IP每周更换攻击对象,因此推测攻击者在对互联网上的NTP服务器进行恶意扫描,以寻找可攻击的潜在对象,有可能准备发动新一轮的大型NTP DRDoS攻击。
计算机应急响应组织CERT/CC也发出预警信息,称思科和惠普等生产的支持NTP服务的网络设备都有可能面临上述风险,并给出具体防范建议。
(三)中国电信监测和处置情况
据中国电信报告,近期国内互联网存在大量利用NTP等服务进行DRDoS攻击的行为,攻击流量从1月6日起逐步变大,单个攻击流量从之前数十M的规模增长逐渐增长到目前的几十G,最大导致上百G的反射攻击流量,且绝大部分攻击流量来自国外,范围和危害均前所未有,其中思科、阿尔卡特朗讯的部分设备受影响较大。
在此情况下,中国电信检查了其骨干网所有核心路由器的NTP配置,并发现有部分接入侧路由器已受到过NTP DRDoS攻击。2月初,中国电信开始在国际出入口和互联互通层面对NTP流量进行整体调控,其国际出入口的NTP流量从300G降低到几十G,效果明显,有效减少了国外对我国内的NTP反射攻击。
三、对策建议
目前,国内大量服务器和网络设备均开放了UDP 123端口,因此极易构成一个巨大的可被利用的僵尸网络,而目前基础电信运营企业对此尚无法做到完全有效控制。建议各基础电信企业、重要信息系统运行单位等进一步加强安全威胁防范:
(一)思科、Juniper已在其官网公布受NTP DRDoS攻击影响的服务器版本,其余设备厂商尚未针对此类攻击发布受影响版本。建议各单位继续加强关注,尽快将受影响的NTP服务器ntpd程序升级到4.2.7版本及以上。
(二)进一步加强异常流量监测,对NTP流量过大的自有系统服务器进行NTP访问控制,或限制NTP服务器的流出流量。
(三)根据中国电信采取的积极经验,建议各基础电信企业在国际出入口和互联互通层面对NTP流量进行监测和调控,降低来自国外大规模NTP DRDoS攻击的可能性。
(四)各基础电信企业应在全网范围内切实认真组织实施源地址验证,按要求深入推进虚假源地址整治工作,建设完善流监测技术手段,增强对DRDoS攻击的监测发现和分析能力。
CNCERT也将对此类NTP DRDoS攻击行为进行有针对性的监测和通报,及时发布预警信息,会同相关单位防范和处置利用NTP等服务进行DRDoS攻击的黑客行为。