Ataque de amplificação NTP
O que é Ataque de amplificação NTP?
Ataque de amplificação NTPAtaque DDoS por reflexão que abusa dos comandos MONLIST (e semelhantes) do NTP para fazer com que servidores respondam com pacotes muito grandes para um IP de vítima falsificado.
A amplificação NTP abusa de servidores Network Time Protocol mal configurados que respondem a consultas de controlo — historicamente o comando MONLIST em ntpd anterior a 4.2.7 — com até 600 entradas sobre clientes recentes. Ao enviar pequenas consultas MONLIST com o IP da vítima forjado como origem, o atacante obtém pacotes de resposta cerca de 200 a 500× maiores, refletidos para a vítima. A técnica esteve por trás de alguns dos maiores DDoS antes de 2016. Defesas incluem atualizar o ntpd, restringir MONLIST e outros comandos ("noquery"/"limited" em ntp.conf), validação de endereço de origem (BCP 38), limitação de respostas NTP e scrubbing DDoS. Embora seja um problema antigo, ainda surgem servidores NTP vulneráveis em scans.
● Exemplos
- 01
O atacante envia uma pequena consulta MONLIST com o IP da vítima falsificado; o servidor responde com kilobytes de dados de monitorização para a vítima.
- 02
Centenas de servidores NTP públicos são usados em paralelo para dirigir centenas de gigabits de tráfego refletido contra um alvo.
● Perguntas frequentes
O que é Ataque de amplificação NTP?
Ataque DDoS por reflexão que abusa dos comandos MONLIST (e semelhantes) do NTP para fazer com que servidores respondam com pacotes muito grandes para um IP de vítima falsificado. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque de amplificação NTP?
Ataque DDoS por reflexão que abusa dos comandos MONLIST (e semelhantes) do NTP para fazer com que servidores respondam com pacotes muito grandes para um IP de vítima falsificado.
Como se defender contra Ataque de amplificação NTP?
As defesas contra Ataque de amplificação NTP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.