NTP Amplifikation Attacke gegen OMG-Server

Vermutlich wurden wir heute (05.02.2014) erstmals Opfer einer kürzlich entdeckten Form von Amplifikations-Angriffen des Typs “NTP-DoS-Reflection-Attack“. Die Auswirkungen waren im Zeitraum von 12:05 Uhr bis 12:20 Uhr spürbar.

Hierfür werden „offene“ NTP-Server dazu motiviert eine UDP-Antwort auf die IP-Adresse des Opfers zu senden. Führt man dies beispielsweise mittels Bot-Net parallel mit hunderten von NTP-Servern aus, erhält man gigantische Datenmengen, die das Netzwerk des Opfer überlasten und somit zu Ausfällen ganzer Infrastrukturen führen. 

In unserem Fall richtete sich der Angriff gegen den Server plesk2.omg.de – Jedoch wurde durch die massive Überlastung große Teile des angeschlossenen Netzwerks beeinträchtigt.

Im Rahmen einer Traffic-Analyse,  sieht dies etwas so aus:
IP 67.197.210.XXX.XXX > 109.239.193.11.80: NTPv2, Reserved, length 440
Eine aktive Möglichkeit seitens des Opfers gibt es leider nicht. Unterlegen ist immer derjenige, der die geringere Bandbreite aufweist. Lediglich seitens der übergeordneten Carrier, gibt es Möglichkeit den Traffic mittels Filterregeln vor dem Eintreffen im Netzwerk des Opfers zu blockieren.
Die Netzwerkstörung betrug aufgrund der schnellen Reaktion beim Setzen übergeordneter Filter nur wenige Minuten, führt jedoch zu spürbaren Engpässen innerhalb der Infrastruktur.
Eine Nachfrage bei einem der angeschlossen Carrier ergab, dass landesweit derartige Probleme bestünden und massive Schwierigkeiten zur Folge hätten.
Weitere Informationen sind hier zu finden:

Leave a Reply

Your email address will not be published. Required fields are marked *