Si fa sempre più uso del Network Time Protocol per diffondere gli attacchi. Ivan Straniero di Arbor Networks propone le soluzioni di difesa.
Recentemente si è fatto notare un particolare meccanismo di attacco DDoS (Distributed Denial of Service): l’utilizzo del protocollo Ntp (Network Time Protocol) per amplificare i volumi di traffico generati dagli attaccanti.
Lo rileva Ivan Straniero, Country Manager, Italy & Se Europe Arbor Networks, che ci illustra il fenomeno.
Morfologia di un attacco Ntp
Gli attacchi a riflessione Ntp sfruttano i server Ntp presenti su Internet il cui scopo è quello di sincronizzare gli orologi dei laptop, smartphone, tablet e altri dispositivi connessi alle infrastrutture di rete.
Alcuni server Ntp possono essere usati per amplificare le capacità di un attaccante: il traffico viene diretto da questi a uno o più server vulnerabili con un indirizzo di origine fittizio (corrispondente in questo caso a quello della vittima); il server Ntp risponde al comando inviato dall’attaccante, ma la risposta viene diretta verso la vittima con un volume di traffico fino a 1.000 volte superiore rispetto a quello generato originariamente dall’attaccante.
Per Straniero gli attacchi Ntp sono un serio problema a causa dell’elevato rapporto di amplificazione, del numero relativamente grande di server vulnerabili presenti su Internet, e della mancanza di filtri anti-spoofing all’interno di molte reti. Sono diventati facilmente disponibili appositi tool che lanciano attacchi e contemporaneamente rilevano i server vulnerabili, tanto che molti servizi DDoS commerciali supportano ormai questo particolare vettore di attacco.
Di conseguenza per un attaccante è facile generare traffico sufficiente a saturare la connettività Internet della maggior parte delle aziende e dei data centre Internet più piccoli.
Gli attacchi a riflessione Ntp, sottolinea Straniero, non sono un problema nuovo, ma è solo dall’ottobre dell’anno scorso che sono apparsi sui radar di molte aziende.
Numerosi attacchi Ntp ben pubblicizzati sono stati lanciati contro servizi di online gaming per ostacolare lo svolgimento di eventi professionali di alto profilo, interferire con i lanci di nuovi prodotti e scatenare vendette contro giocatori concorrenti.
L’eco mediatico di questa sequenza di attacchi sembra aver reso popolare la riflessione Ntp come vettore di attacco, portando nel primo trimestre del 2014 a quella che è stata probabilmente la tempesta più concentrata di grandi attacchi DDoS volumetrici mai registrata nella storia.
Le rilevazioni sul campo
Per spiegare meglio questo punto basti pensare che il sistema Arbor Atlas, avvalendosi dei dati condivisi da oltre 290 service provider di tutto il mondo, ha osservato nel 2013 un numero di attacchi con banda oltre i 20Gb/sec più di otto volte superiore rispetto a quello del 2012.
Nel primo trimestre del 2014, Atlas ha registrato 1,5 volte il numero di attacchi oltre 20 Gb/sec di tutto il 2013. Sempre nel primo trimestre di quest’anno sono stati monitorati 72 eventi da oltre 100Gb/sec, il maggiore dei quali è stato un attacco da 325 Gb/sec diretto contro un bersaglio in Francia: si è trattato del più grande attacco verificato mai osservato su Internet.
Come si contrastano
Considerate le dimensioni e la frequenza di questi attacchi, le aziende devono accertarsi di disporre di difese adeguate dal DDoS.
Dai grandi Isp alle grandi imprese, tutte le aziende devono affrontare i rischi presentati dai grandi attacchi DDoS volumetrici.
Secondo Straniero, in presenza di servizi, configurazioni, procedure e soluzioni adeguate, le aziende possono proteggere efficacemente esse stesse e i loro clienti da questa minaccia:
prevenendo abusi: i service provider devono assicurarsi di disporre di filtri anti-spoofing al punto di contatto tra le loro reti e quelle dei loro clienti;
bonificando i servizi Ntp: le aziende dovrebbero effettuare proattivamente scansioni e bonifiche dei servizi Ntp vulnerabili in modo da ridurre le capacità a disposizione degli attaccanti;
rilevando gli attacchi: le aziende devono sfruttare la telemetria di flusso per rilevare, classificare, ritracciare e segnalare proattivamente gli attacchi DDoS. Idealmente, dovrebbero essere usate configurazioni specifiche per facilitare l’individuazione e la mitigazione precoce degli attacchi a riflessione Ntp;
attivando misure di mitigazione: mediante la preconfigurazione di tecniche di mitigazione basate su rete (come Flowspec, blackhole, meccanismi di QoS ecc.) in modo che siano già pronte quando occorre. Necessario anche il deployment di servizi e soluzioni di mitigazione intelligenti;
mitigando gli attacchi: occorre accertarsi che i team addetti alle operazioni conoscano bene i tool e i processi necessari ad affrontare efficientemente l’attuale generazione di attacchi Ntp.
