NTP-Amplifikationsangriff
Was ist NTP-Amplifikationsangriff?
NTP-AmplifikationsangriffReflection-DDoS, der die NTP-Befehle MONLIST (und ähnliche) missbraucht, damit NTP-Server sehr große Pakete an eine gespoofte Opferadresse senden.
NTP-Amplifikation missbraucht fehlkonfigurierte Network-Time-Protocol-Server, die auf Kontrollanfragen — historisch der Befehl MONLIST in ntpd vor 4.2.7 — mit bis zu 600 Einträgen über zuletzt verbundene Clients antworten. Kleine MONLIST-Anfragen mit gefälschter Absender-IP des Opfers erzeugen Antworten, die rund 200–500-mal größer sind und an das Opfer reflektiert werden. Die Technik trieb vor 2016 einige der damals größten DDoS-Angriffe. Gegenmaßnahmen sind das Aktualisieren von ntpd oder Einschränken von MONLIST und anderen Befehlen ("noquery"/"limited" in ntp.conf), Source-Address-Validation (BCP 38), Rate Limiting der NTP-Antworten und DDoS-Scrubbing. Trotz Bekanntheit tauchen verwundbare NTP-Server immer noch in Scans auf.
● Beispiele
- 01
Ein Angreifer sendet eine kleine MONLIST-Anfrage mit gefälschter Opfer-IP; der Server antwortet mit mehreren Kilobyte Monitoringdaten an das Opfer.
- 02
Hunderte öffentliche NTP-Server werden parallel genutzt, um Hunderte Gigabit reflektierten Traffic auf ein Ziel zu lenken.
● Häufige Fragen
Was ist NTP-Amplifikationsangriff?
Reflection-DDoS, der die NTP-Befehle MONLIST (und ähnliche) missbraucht, damit NTP-Server sehr große Pakete an eine gespoofte Opferadresse senden. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet NTP-Amplifikationsangriff?
Reflection-DDoS, der die NTP-Befehle MONLIST (und ähnliche) missbraucht, damit NTP-Server sehr große Pakete an eine gespoofte Opferadresse senden.
Wie schützt man sich gegen NTP-Amplifikationsangriff?
Schutzmaßnahmen gegen NTP-Amplifikationsangriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.