NTP増幅攻撃－その概要

NTP増幅攻撃とは？

NTP増幅攻撃は、一部で ntp amplification ddos とも呼ばれる DDoS攻撃の一種で、攻撃者が公開された Network Time Protocol (NTP) サーバを利用して UDP トラフィックを攻撃対象に送りつけるものです。

‍

NTP増幅攻撃の仕組み

NTP増幅攻撃は、攻撃者と攻撃対象のウェブ資産との間に存在する帯域幅の差を利用します。この差が多数のリクエストにより拡大されると、大量のトラフィックがネットワークシステムに影響を及ぼす場合があります。攻撃者は、少量のリクエストで大きな応答を引き出すことで、少ない資源で大規模な効果を狙います。さらに、botnet内の各ボットが同様のリクエストを送ることで増幅効果が重なり、攻撃者は身元を特定されにくくなりながら、異常な量の攻撃トラフィックを生み出します。

DNS増幅攻撃は DNSフラッド攻撃と同じものではありません。DNS増幅攻撃は、DNSフラッド攻撃とは異なり、不正な DNS サーバからのトラフィックを反射および増幅することで、攻撃の発信元を隠し、効果を高めます。DNS増幅攻撃では、低帯域幅のデバイスを利用して不正な DNS サーバへ多数のリクエストを送信します。そのデバイスは、少量のリクエストで大量の大きな DNS レコードを引き出し、攻撃者は返送先アドレスを攻撃対象に偽装します。この増幅効果により、攻撃者は少ない資源で大規模な標的を攻撃することが可能となります。

DNS増幅攻撃と同様に、NTP増幅攻撃は例えるなら、悪質な客がカフェに電話して「すべてを注文しますので、こちらに折返しの連絡を」と伝えるようなものです。カフェが折返しの連絡先を求めると、その番号は攻撃対象のものであり、結果として攻撃対象は望んでいない大量の情報を受け取ることになります。

NTPは、ネットワーク接続された機器が内部の時計を同期するために利用される、重要なネットワークインフラの一部です。一部の NTP サーバで有効な monlist リクエストは、攻撃者が本来の帯域トラフィックをコピーするために利用でき、大量の応答を引き出します。このコマンドは他の高度な機器でのみ利用可能で、直近600件のソース IP アドレスを NTP サーバに送信します。600件分のアドレスが記録されたサーバは、通常最初のリクエストと同じサイズの monlist 応答を返します。攻撃者が1GBのネットワーク帯域を使用すると、200GBを超える攻撃トラフィックが発生し、トラフィックが異常に増幅されることになります。

実際の NTP 増幅攻撃

1. ステージ1

攻撃者は偽装した IP アドレスを持つ UDP パケットを、monlist リクエストが有効な NTP サーバに botnet を利用して送信します。

各パケットの偽装された IP アドレスは、攻撃対象の実際の IP アドレスに書き換えられます。

2. ステージ2

各 UDP パケットは monlist リクエストを用いて NTP サーバへトラフィックを送り、大量の応答を引き出します。

3. ステージ3

その後、サーバは受け取ったデータを元の宛先に返送します。

4. ステージ4

応答は攻撃対象の IP アドレスへ送られ、ネットワーク全体が膨大なトラフィックに圧倒され、サービス拒否状態に陥ります。

‍

NTP増幅攻撃への対策

ウェブサイトやサービスを運営する個人または組織にとって、対策は限られています。実際、攻撃対象はサーバである場合もありますが、膨大な攻撃の影響はネットワーク全体に及びます。サーバを取り巻くインフラは高トラフィックの影響を受け、ISPや上流のプロバイダが対応しきれず、最終的には攻撃対象の IP アドレスへの全トラフィックを遮断する可能性もあります。Wallarm DDoS防御などの外部防御サービスに加え、以下のような NTP増幅攻撃対策が考えられます：

1. monlist 機能を無効にし、monlist コマンドに対応している NTP サーバの数を減らす。

monlist 機能を無効にすることは、脆弱性を解消する簡単な方法です。もちろん、NTPソフトのバージョン 4.2.7 以前はすべて脆弱です。NTPサーバを 4.2.7 以降にアップグレードするか、アップグレードが難しい場合は、US-CERT のガイドラインに従い必要なパッチを適用してください。

2. ソースIPフィルタリングで偽装パケットがネットワーク外に出るのを防ぐ。

攻撃者の botnet は、攻撃対象の IP アドレスを偽装した UDP リクエストを送信するため、ISP などは偽装 IP アドレスのトラフィックをブロックし、UDP 増幅攻撃の成功率を下げるべきです。内部から送信されたパケットで送信元アドレスが外部のものに見える場合は、偽装パケットの可能性が高く、破棄されるべきです。Wallarm は、全プロバイダが必ずインバウンドフィルタリングを実施することを推奨しており、意図せず DDoS 攻撃に加担している ISP（BCP38 を無視している場合）には、その脆弱性の認識を促すために定期的に連絡を行っています。

このような攻撃は、NTP サーバで monlist を無効にし、IP偽装を許すネットワークでインバウンドフィルタリングを実施することで、攻撃対象に到達する前に防ぐことが可能です。

Wallarmはどのように攻撃を防げるか？

クラウド WAF は、公開されている技術を活用して Wallarm ネットワーク全体から攻撃情報を集め、統合することで、すべての顧客を支援します。

IP の評判を追跡するなどの先進的なセキュリティ手法で常習的な攻撃者や botnet デバイスを特定し、GoTestWAF セキュリティサービスは ゼロデイ脅威に迅速に対応、顧客ネットワーク全体を新たな脅威から守ります。さらに、APIセキュリティプラットフォームにより、製品を包括的に守ります。

Wallarm は、攻撃の負荷を複数のデータセンターに分散させ、バランスを取りながら、サービスが停止せず、攻撃が対象サーバのインフラを圧倒することを防ぎます。要するに、Wallarmセキュリティプラットフォームは、優れた NTP 増幅攻撃対策ツールです。