Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향NTP Amplification DDoS 공격
작성일 2014-12-23 조회 3120
1.1  NTP DDoS Attack
최근 DDoS의 트랜드인 NTP DDoS 취약점이다. 데일리시큐에서 언급 되었듯이 ntp의 monlist가 기본적으로 600개의 최근 질의/응답 목록을 보여 주기 때문에 단 10~100 바이트의 한 패킷에 440byte씩 쪼개어져 결국 약 20배의 증폭이 되어 4,000 byte 이상의 응답 패킷을 생성하게 된다는 것이다. 그리고, 짧은 시간에 많은 질의를 하게 되면 결국 다음과 같이 한 서버에 수백 Mbps 이상의 공격 트래픽이 유발될 수 있음을 확인할 수 있다.(데일리시큐)
이와 같이 일본에서도 NTP DDoS Attack의 취약점이 발견되어 최근 이슈가 되고 있다. 

 
NTP DDOS 관련 공격이 최근 발생하고 있으며, 해당 취약점은 NTP의 monlist 기능을 이용한 대량의 네트워크 트래픽을 유발시켜 DDOS 공격을 시도할 수 있다. monlist기능은 NTP 서버에 최근 접속한 시스템 목록을 요청하고 출력하는 기능을 말한다.
공격자는 Spoofing된 IP(공격하고자 하는 IP)를 취약한 NTP 서버로 monlist 명령어를 전송한다. 취약한 NTP 서버는 최근 접속한 시스템 목록(최대 600개)를 변조된 소스 IP로 monlist 명령어에 대한 Response 패킷을 전송하여 대량의 네트워크 트래픽을 유발한다.
NTP Packet Structure는 다음과 같으며

 
 
패킷 중요 필드
R: Response Bit (Request/Response Flagbit)
VN  : 버전 넘버 필드 (version 2, version3)에서 취약점 발생)
M : Morebit (뒤에 추가로 발생하는 패킷 여부 flagbit)
Mode : 패킷 모드 필드 ( monlist 기능은 패킷 모드 7에서 동작)
Implemetation : XNPD Version정보(2,3)
Req Code: Request Code로 MON_GETLIST_1값으로 0x2A

 
아래 [그림2], [그림3]는 NTP서버를 사용하고 있는 A업체에서 NTP 취약점이 발견된 모습이다. 이와 같이 랜덤한 서버에서 NTP서버로 수백 Mbps를 요청할 시 DDoS공격에 초래될 수 있다.
해당 트래픽은 아래 [그림1]과 같이 약12시간에 5000 ~ 12000건의 이벤트가 발생하게 된다.
주요 공격 대상국은 다음과 같다.
미국
호주
필리핀
영국
멕시코
인도
체코
프랑스
루마니아
캐나다

 
[그림] NTP request Attack 탐지 이벤트

 
[그림] NTP request Attack

[그림] NTP response Attack
첨부파일 첨부파일이 없습니다.
태그