NTP AMPLIFICATION DDoS ATTACK
NTP AMPLIFICATION DDoS ATTACK
DDoS
Saldırıları
Standart DDoS saldırılarında amaç olabildiğince çok
fazla sayıda sistem üzerinden hedef sistemlere belirli sayıda paket gönderimi
yaparak devre dışı kalmasını sağlamaktır.
Amplification tipi saldırılarında ise trafik
kapasitesi yüksek aracı sistemler kullanarak saldırgan sahip olduğu bandwidth
miktarından çok daha fazlasını hedef sisteme yönlendirir.
2014 yılında NTP servisindeki monlist özelliğini
istismar eden Amplification DDoS saldırısı 400
Gbps (2013 yılı Türkiye internet çıkışına yakın) civarında idi ve bu rakam
dünyadaki en ciddi ddos saldırısı olarak tarihe geçmiştir.
NTP Nedir?
Ne İşe Yarar?
NTP, zaman senkronize protokolüdür saati sorduğumuzda
bize söyleyen bir servis.
Bu servis yardımı ile bilgisayarlar saatlerini eş
zamanlayarak oluşabilecek zaman kayma problemlerini düzeltebilmekteler.
UDP/123 portundan çalışır.
Servis, sadece tanıdıklara saati söyleyebilecek
şekilde ayarlanabilecek iken, sistem yöneticilerinin servisi standart ayarlarla
kurması nedeniyle, dünya üzerinde her sorana saati söyleyebiliyorlar.
Bir NTP sunucusunun durumunu öğrenmek için aşağıdaki
komut yeterli olacaktır.
“ ntpq –pn ”
NTP Monlist
Özelliği ve İstismarı
NTP sunucular, kendine daha önce
sorgu yapan ip adreslerini bellekte tutar ve bunu aşşagıdaki sorgu ile
öğrenmemize fırsat tanır.
“ ntpdc -n
-c monlist xxx.xxx.xx.xx|more ”
NTP, UDP tabanlı olduğu için
gönderilecek isteklerde kaynak ip adresi olarak ddos saldırısı
gerçekleştirilmek istenen hedef verilirse saldırgan 10 Mbps ile 300 Mbps
trafik üretebilir.
Bunun gibi 100lerce açık NTP sunucusu
bularak yoğun bir trafik çıkartılıyor. Bu yükü’de hedef makineye yönlendiriyor.
Monlist Özelliği Aktif Sistemlerin Tespiti
Komut
nmap -sU -pU:123 -Pn -n –script=ntp-monlist xxx.xxx.xx.xx
NTP DDoS
SCRİPT
NTPDOS belirttiğimiz dizin altındaki zaafiyetli ntp
servislerini kullanarak bu servisler üzerinden DDoS saldırısı yapıyor
Yardım parametlerini
görüntülediğimizde aşşagıdaki gibi bir çıktı veriyor.
Gerekli parametreleri
girdiğimiz takdirde NTP servisleri üzerinden servis dışı bırakma saldırısı
yapıyor.
NTPDOS ARACI İLE NTP
SALDIRILARI NASIL YAPILIR?
Ntpdos isimli toolumuz, gerekli kullanım yönergeleri
izlendiğinde istediğimiz şekilde yani ntp üzerinden DDoS atakları
gerçekleştirebiliyoruz.
İlk olarak yukarıda anlattığımız gibi monlist özelliği
aktif olan ntp sunucularımızı buluyor ve bir dosyaya liste halinde
kaydediyoruz.
Gerekli serverları bulmak için bir başka yöntem olarak
shodan.io adlı search enginede “ntp port:123” aratarak çıkan serverları da bir
liste halinde kaydedersek aynı şekilde bir serverlist elde etmiş oluruz.
Daha sonra ntpdos.py dosyamızı ihtiyacımız olan
parametrelerle çalıştırıyoruz.
Sırasıyla Komutlar
- hedef ip
- ntp
serverların listesinin bulunduğu dosya yolu
- thread
sayısı (kaydettiğimiz server sayısından fazla olmamalı)
Şimdi örnek olması açısından biz bir saldırı
gerçekleştirelim ve çalışıp çalışmadığını görelim:
Ctrl + C komudu ile saldırıyı durdurduk
Neler Yaptık ?
Saldırmak istediğimiz ip adresini ilk parametre olarak
ekledik. Daha sonra server listemizin yerini full path olarak belirttik.
En son olarak thread sayısını yani kaç parça
kullanacağımızı, kaç serverı atak yaparken kullanacağımızı seçtik, enterladık.
Saldırımız sending yazısından itibaren başladı.
Durdurmadığımız sürece saldırı işlemi devam edecektir.
Peki sadece ntpdos mu var?
Elbette hayır. Ntpdos ne kadar rahat kullanıma sahip
olsa da alternatif olarak kullanabileceğimiz 2 adet daha araç bulunmakta:
-Saddam
-Ntpdoser
Saddam :
Saddam; Python 2.7 ile yazılmış, sadece ntp
amplification değil aynı zamanda dns snmp ssdp amplification atakları da
yapılabilen bir araçtır.
Ezber Değil
Mantık!
Yaptığımız saldırıda tam olarak istekte bulunduğumuz
ntp servislerinin bize döndürdükleri cevabı biz değil hedefe yönelttik.
Böylelikle NTP servislerinin monlist zafiyetini
kullanarak hedefimizin bandwitchini doldurmaya yönelik bir DDoS saldırısı
gerçekleştirdik
Not:
NTP Monlist
özelliği, NTP 4.2.7 ve üzeri sürümlerde getirilen yama ile devredışı
bırakılmıştır.
0 yorum :
Yorum Gönder