Kommt Zeit, kommt – DDoS-Angriff
Eine neue Technik für verteilte Denial-of-Service-Angriffe nutzt Zeit-Server im Internet, um Server mit Datenfluten von bis zu 100 GBit/s lahmzulegen. Admins von NTP-Servern sollten handeln, um ihre Dienste abzusichern.
Aktuelle DDoS-Attacken richten sich derzeit vor allem gegen Online-Spiele-Server; sie können aber bald jeden treffen. Kriminelle missbrauchen dabei das Network Time Protocol (NTP), über das Systeme im Internet normalerweise ihre System-Zeit gegen die eines verlässlichen Zeit-Servers abgleichen. Es wird jedoch missbraucht, um wahre Datenfluten auf missliebige Ziele zu richten. Admins von NTP-Servern sollten also zügig handeln, um ihre Dienste abzusichern.
Die Angreifer fragen bei ihren Attacken mit einer gefälschten Absender-Angabe die Liste der letzten Kommunikationspartner (monlist) ab. Das Resultat: Der vermeintliche Absender erhält die Antwort, nach der er nie gefragt hat – und zwar in hoher Frequenz und nicht nur von einem sondern von tausenden Servern. Daraus ergeben sich dann Paketfluten mit bis zu 100 GBit/s, berichten auf DDoS-Abwehr spezialisierte Firmen wie Staminus.
Die Angriffe werden durch zwei Faktoren begünstigt: NTP beruht auf dem zustandslosen Protokoll UDP. Das heißt, jemand schickt ein UDP-Paket mit einer Anfrage und der vermeintliche Absender bekommt ohne weiteres Federlesen die Antwort. Und diese Antwort – das ist dann Faktor zwei – fällt sehr viel größer aus, als die Anfrage. Die Angreifer können sich also nicht nur hinter den gefälschten IP-Adressen verstecken, sie erreichen sogar noch einen Verstärkungseffekt. Der kann bei vollen Server-Listen bis zu 200 betragen. Der Angreifer kann damit dann bis zum Zweihundertfachen seiner eigenen Bandbreite auf ein beliebiges Ziel richten. Kontrolliert er ein Bot-Netz mit vielen infizierten Rechnern kommen da sehr schnell enorme Datenraten zusammen, denen herkömmliche Server beziehungsweise Router kaum standhalten können
Früher erfolgten solche DDoS-Angriffe häufig über offene DNS-Server; derzeit sind offene Zeit-Server das Problem. Da viele Default-Installationen anfällig sind, müssen Admins jetzt aktiv werden, um sicherzustellen, dass der eigenes Server sich nicht für DDoS-Angriffe missbrauchen lässt. Ob der eigene Server akut anfällig ist, prüft man mit:
ntpdc -n -c monlist <IP>
Erscheint als Antwort eine Adressliste, ist der Server offen. Als Quick-Fix kann man die Zeile
disable monitor
an die Konfigurationsdatei /etc/ntp.conf
anhängen. Damit antwortet der Zeit-Server zwar weiterhin auf Synchronisierungsanfragen, aber schon mal nicht mehr auf die Abfragen der Adresslisten. Außerdem sollte man sicherstellen, dass die restrict
-Regeln noquery
enthalten. Details verrät die offizielle NTP-Doku.
Alternativ kann man den Server natürlich auch dicht machen und nur noch autorisierten Clients die Abfrage der Zeit gestatten, wie es Team CYMRU gut beschreibt. Die Entwickler der Zeit-Server-Software haben den Sachverhalt auch als sicherheitsrelevant eingestuft und in einer aktualisierten Version die problematische Abfrage durch eine bessere ersetzt, die Interaktion erfordert. Wer kann, sollte also baldmöglichst auf die neue Version ntp 4.2.7p26 aktualisieren. Wer nicht genau weiß, welche Server in seinem Bereich unter Umständen auf NTP-Anfragen antworten, kann dies für ganze Netzbereiche beim OpenNTP-Projekt abfragen. (ju)