Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

NTP : Serveur de « TEMPS » … et de DDOS !


Auteur : Pierre-Aymeric LEMARIE

Date de publication : 2 avril 2017 - Dernière mise à jour : 10 juillet 2018


NTP ? C’est quoi… Network Time Protocol : C’est la machinerie qui permet de conserver une synchronisation horaire des équipements informatiques partout dans le monde. Ce protocole est très largement déployé et très largement utilisé, et par sa nature, il reste relativement ouvert. Chaque pays dispose d’une liste publique de serveurs NTP, les universités en fournissent également, idem pour certains fournisseurs d’accès.

Mis à part quelques vulnérabilités découvertes, comme pour tous les services « Internet », ce protocole n’a pas fait beaucoup parler de lui tout au long de sa longue vie, jusqu’à il y a quelques semaines. Sur la période de Noël déjà quelques attaques DDoS reposant sur NTP étaient détectées, et ce jour dans les actualités, une attaque générant un débit de plus de 100 GBps sature des sites de jeux… D’où ce petit « billet » explicatif…

De NTP à ADRDOS…

NTP, comme décrit ci-dessus, est un protocole plutôt inoffensif à la base, servant à synchroniser nos horloges « électroniques »

DOS : Denial of Service. Attaque consistant à faire tomber un ou plusieurs services, ou à remplir un tuyau réseau en le saturant.

DDOS : Distributed Denial of Service. Exécuter un DOS en s’appuyant sur un nombre très important de machine (botnets de machines infectées par exemple)

DRDOS : Distributed Reflective Denial of Service. Même principe que le DDOS. Cette fois, il s’agit d’abuser de certains protocoles Internet pour lesquels le « spoofing » est aisé (le plus souvent le protocole UDP). L’idée est d’envoyer une requête, ping par exemple, à un grand nombre de serveurs sur Internet, en changeant remplaçant son IP source par celle de sa future victime. C’est la victime qui recevra toutes les réponses.

ADRDOS : Amplified Distributed Reflective Denial of Service. Même principe que DRDOS, mais cette fois au lieu d’utiliser des protocoles comme ping, nous utiliserons des protocoles pour lesquels la réponse transmise par les serveurs sur Internet est beaucoup plus volumineuse que notre requête spoofée initiale… C’est en quelque sorte un effet de levier

Que faire ?

Si vous êtes la victime, difficile de se protéger de ce type d’attaque, surtout si finalement elle remplit le canal vous connectant à Internet. Même si vos équipements sécurité bloquent le flux, la bande passante sera saturée. Prenez pour illustration l’attaque la plus récente : 100 GBps de trafic!

Une solution est de se rapprocher de son fournisseur d’accès pour définir des plans de réaction rapide en cas d’attaques DDoS. Votre fournisseur d’accès étant le mieux placé pour dévier les flux malveillants vers un « trou noir » réseau.

Par contre vous pouvez contribuer à limiter ce type d’attaque en n’hébergeant pas un serveur NTP susceptible d’être utilisé pour amplifier une attaque DDoS. Pour cela, soit n’installez pas de service NTP accessible d’Internet, solution la plus « simple », soit mettez à jour ces serveurs avec la version 4.2.7 de NTP qui résout le problème lié à l’utilisation de la commande « monlist ». Cela n’empêche pas le serveur NTP d’être utilisé pour des attaques « Reflectives », mais au moins elles ne seront pas « Amplifiées »…