{"id":366,"date":"2014-02-05T14:28:48","date_gmt":"2014-02-05T12:28:48","guid":{"rendered":"http:\/\/www.makes-it-work.de\/?p=366"},"modified":"2014-09-24T16:59:54","modified_gmt":"2014-09-24T14:59:54","slug":"ntp-amplifikation-attacke-gegen-omg-server","status":"publish","type":"post","link":"https:\/\/www.makes-it-work.de\/en\/2014\/02\/05\/ntp-amplifikation-attacke-gegen-omg-server\/","title":{"rendered":"NTP Amplifikation Attacke gegen OMG-Server"},"content":{"rendered":"

Vermutlich wurden wir heute (05.02.2014)\u00a0erstmals Opfer einer k\u00fcrzlich entdeckten Form von Amplifikations-Angriffen des Typs “NTP-DoS-Reflection-Attack\u201c. Die Auswirkungen waren im Zeitraum von 12:05 Uhr bis 12:20 Uhr sp\u00fcrbar.<\/span><\/p>\n

Hierf\u00fcr werden \u201eoffene\u201c NTP-Server dazu motiviert eine UDP-Antwort auf die IP-Adresse des Opfers zu senden. F\u00fchrt man dies beispielsweise mittels Bot-Net parallel mit hunderten von NTP-Servern aus, erh\u00e4lt man gigantische Datenmengen, die das Netzwerk des Opfer \u00fcberlasten und somit zu Ausf\u00e4llen ganzer Infrastrukturen f\u00fchren.\u00a0<\/span><\/span><\/p>\n

In unserem Fall richtete sich der Angriff gegen den Server plesk2.omg.de – Jedoch wurde durch die massive \u00dcberlastung gro\u00dfe Teile des angeschlossenen Netzwerks beeintr\u00e4chtigt.<\/span><\/p>\n

Im Rahmen einer Traffic-Analyse, \u00a0sieht dies etwas so aus:<\/span><\/div>\n
\n
IP 67.197.210.XXX.XXX > 109.239.193.11.80: NTPv2, Reserved, length 440<\/pre>\n<\/div>\n
<\/div>\n
Eine aktive M\u00f6glichkeit seitens des Opfers gibt es leider nicht. Unterlegen ist immer derjenige, der die geringere Bandbreite aufweist. Lediglich seitens der \u00fcbergeordneten Carrier, gibt es M\u00f6glichkeit den Traffic mittels Filterregeln vor dem Eintreffen im Netzwerk des Opfers zu blockieren.<\/div>\n
<\/div>\n
Die Netzwerkst\u00f6rung betrug aufgrund der schnellen Reaktion beim Setzen \u00fcbergeordneter Filter nur wenige Minuten, f\u00fchrt jedoch zu sp\u00fcrbaren Engp\u00e4ssen innerhalb der Infrastruktur.<\/div>\n
<\/div>\n
Eine Nachfrage bei einem der angeschlossen Carrier ergab, dass landesweit derartige Probleme best\u00fcnden und massive Schwierigkeiten zur Folge h\u00e4tten.<\/div>\n
<\/div>\n
Weitere Informationen sind hier zu finden:<\/div>\n
\n