e-Xpert Solutions Lausanne
Auteur : Pierre-Aymeric LEMARIE
Date de publication : 2 avril 2017 - Dernière mise à jour : 10 juillet 2018
NTP ? C’est quoi… Network Time Protocol : C’est la machinerie qui permet de conserver une synchronisation horaire des équipements informatiques partout dans le monde. Ce protocole est très largement déployé et très largement utilisé, et par sa nature, il reste relativement ouvert. Chaque pays dispose d’une liste publique de serveurs NTP, les universités en fournissent également, idem pour certains fournisseurs d’accès.
Mis à part quelques vulnérabilités découvertes, comme pour tous les services « Internet », ce protocole n’a pas fait beaucoup parler de lui tout au long de sa longue vie, jusqu’à il y a quelques semaines. Sur la période de Noël déjà quelques attaques DDoS reposant sur NTP étaient détectées, et ce jour dans les actualités, une attaque générant un débit de plus de 100 GBps sature des sites de jeux… D’où ce petit « billet » explicatif…
NTP, comme décrit ci-dessus, est un protocole plutôt inoffensif à la base, servant à synchroniser nos horloges « électroniques »
DOS : Denial of Service. Attaque consistant à faire tomber un ou plusieurs services, ou à remplir un tuyau réseau en le saturant.
DDOS : Distributed Denial of Service. Exécuter un DOS en s’appuyant sur un nombre très important de machine (botnets de machines infectées par exemple)
DRDOS : Distributed Reflective Denial of Service. Même principe que le DDOS. Cette fois, il s’agit d’abuser de certains protocoles Internet pour lesquels le « spoofing » est aisé (le plus souvent le protocole UDP). L’idée est d’envoyer une requête, ping par exemple, à un grand nombre de serveurs sur Internet, en changeant remplaçant son IP source par celle de sa future victime. C’est la victime qui recevra toutes les réponses.
ADRDOS : Amplified Distributed Reflective Denial of Service. Même principe que DRDOS, mais cette fois au lieu d’utiliser des protocoles comme ping, nous utiliserons des protocoles pour lesquels la réponse transmise par les serveurs sur Internet est beaucoup plus volumineuse que notre requête spoofée initiale… C’est en quelque sorte un effet de levier
Si vous êtes la victime, difficile de se protéger de ce type d’attaque, surtout si finalement elle remplit le canal vous connectant à Internet. Même si vos équipements sécurité bloquent le flux, la bande passante sera saturée. Prenez pour illustration l’attaque la plus récente : 100 GBps de trafic!
Une solution est de se rapprocher de son fournisseur d’accès pour définir des plans de réaction rapide en cas d’attaques DDoS. Votre fournisseur d’accès étant le mieux placé pour dévier les flux malveillants vers un « trou noir » réseau.
Par contre vous pouvez contribuer à limiter ce type d’attaque en n’hébergeant pas un serveur NTP susceptible d’être utilisé pour amplifier une attaque DDoS. Pour cela, soit n’installez pas de service NTP accessible d’Internet, solution la plus « simple », soit mettez à jour ces serveurs avec la version 4.2.7 de NTP qui résout le problème lié à l’utilisation de la commande « monlist ». Cela n’empêche pas le serveur NTP d’être utilisé pour des attaques « Reflectives », mais au moins elles ne seront pas « Amplifiées »…
Events
Archives