Nederlandse ntp-servers misbruikt bij grote ddos-aanval op Cloudflare

Bij de ddos-aanval op Cloudflare, naar verluidt de grootste ddos-aanval ooit, zijn ook Nederlandse ntp-servers gebruikt. Door een kwetsbaarheid in het network time protocol kunnen ntp-servers worden gebruikt door een aanvaller om zijn capaciteit te vergroten.

In totaal werden bij de ddos-aanval, die met 400Gbit/s uitzonderlijk groot was, ruim 4500 ntp-servers misbruikt. Daarvan stonden er minimaal twintig in Nederland en minimaal één in België, zo blijkt uit een analyse die Cloudflare heeft gepubliceerd. De servers werden gehost door klanten van Leaseweb, PCExtreme, KPN en Xs4all. Ook UPC komt op de lijst van netwerken voor, maar het lijkt erop dat het om een buitenlandse tak van die provider gaat.

Door de hoge bandbreedte van de aanval van afgelopen maandag traden in meerdere delen van Europa internetproblemen op, hoewel Cloudflare zegt zelf slechts beperkt last van de aanval te hebben gehad. Cloudflare is een bedrijf dat websites van klanten beschermt tegen ddos-aanvallen en andere vormen van overbelasting. De aanval zou zijn gericht op een nog onbekende klant van het bedrijf.

Het ging om een aanval waarbij ntp amplification werd gebruikt. Daarbij kan een aanvaller zijn aanvalskracht ruim tweehonderd keer vergroten. Door het ip-adres van het doelwit te spoofen en zogenaamd vanaf dat ip-adres een monlist-verzoek naar een ntp-server te versturen, wordt een lijst met de laatste 600 ip-adressen die contact hebben gehad met de server naar het opgegeven ip-adres verstuurd. Het antwoord is daarmee 206 keer groter dan het verzoek.

Ntp amplification is mogelijk doordat het verzoek over udp wordt gedaan, dat in tegenstelling tot tcp geen handshake vereist. Daarnaast moet het netwerk van de aanvaller het toestaan om ip-adressen te spoofen; iets dat volgens de richtlijnen niet zou moeten kunnen. Cloudflare roept netwerkbeheerders daarom op om ip-spoofing onmogelijk te maken, als ze dat niet al hebben gedaan.

Ntp amplification is vergelijkbaar met dns amplification, waarbij dns-servers op dezelfde wijze via gespoofte ip-adressen worden verstookt. Cloudflare waarschuwt dat amplification-aanvallen via het simple network management protocol nog gevaarlijker zijn, omdat die de aanvaller in staat stellen zijn aanvalscapaciteit met een factor 650 te vergroten. "We zien dat aanvallers er al mee experimenteren", aldus Cloudflare.

ddos ntp cloudflare

De ntp-servers die werden gebruikt bij de aanval

IT-banen

Reacties (55)

NLAnaconda 13 februari 2014 17:49

Mijn website was door deze DDoS ook niet te bereiken in Europa.
De servers van CloudFlare in andere delen van de wereld hadden hier geen last van want daar werd mijn website gewoon geladen.

Ik heb het op Twitter een beetje in de gaten gehouden en de "hackers groep" DERP reageerde op de tweet van CloudFlare. met "Your network is no match for our superior Gaben Laser Beam™"

Toen CloudFlare in een tweet een update gaf over de situatie schreven ze als reactie: "Don't worry, we already stopped it for you." waarna de problemen ook stopten.

In een andere tweet, na de aanval schreven ze: "We've never been able to meter the power of our glorious GLB™, but according to CloudFlare it produced over 400GB/s."

[Reactie gewijzigd door NLAnaconda op 23 juli 2024 08:25]

mkools24 @NLAnaconda • 13 februari 2014 18:03

Tja mensen van DerpTrolling moet je gewoon geen aandacht geven eigenlijk, ik vind ze maar heel erg zielig. Het zijn altijd die mensen die zogenaamd strijden voor een vrij -en open Internet en dan krijgen ze dat en wat doen ze er vervolgens mee? Ze dosseen het helemaal plat of claimen de verantwoordelijkheid. Door zulke gasten wordt de Internetters die wel goede bedoelingen hebben straks beperkingen opgelegd, dat hebben ze nu niet in de gaten maar dat komt vast nog wel.

De andere kant van de medaille is dat dit natuurlijk heerlijke publiciteit is voor Cloudflare. Kijk eens wij kunnen een 400 gbps aanval mitigaten! Er werd toen al zwaar getwijfeld aan die 300 gbps aanval op Spamhaus of die ook echt wel 300 gbps was en nu is het al 400 gbps.

Er werden 4500 NTP servers misbruikt, die moeten dus gemiddeld allemaal minimaal aan 100 mbit hangen en al die bandbreedte ook vrij hebben om aan die 400 gbps te komen, dat lijkt mij al vrij onwaarschijnlijk aangezien er ook een hoop thuis Linux -en/of Windows NTP servertjes tussen zullen zitten.

Verder begrijp ik nog steeds niet dat grote hosters als Leaseweb die zelf ook veel last hebben van DDoS aanvallen niet standaard die poorten dichtgooien voor klanten, dus 19 (Chargen), 53 (DNS) en 123 (NTP). Wanneer de klant er dan voor kiest om deze services te willen draaien kan hij ze eenvoudig open zetten via zijn Control Panel waarna Leaseweb ook daadwerkelijk scant of de services niet vatbaar zijn voor misbruik.

Er wordt veel te makkelijk mee omgegaan vanuit de hoster, hier heb je een kabel en een IP adres en succes ermee, maar ze vergeten dat machines bij bijv. Leaseweb allemaal aan een gigabit link hangen en 1 machine kan dus al ontzettend veel schade veroorzaken door zoiets simpels als een verkeerd ingestelde DNS of NTP server.

Oh en btw voor wie denkt dat 4500 machines en 400 gbps wel mogelijk is, je kan je voorstellen dat er vanuit de communities zoals bijv. hackforums momenteel een ware run is ontstaan op lekke NTP servers en dat elke range as we speak kapot wordt gescanned en elke NTP server wordt misbruikt.

Verder kan ik me niet voorstellen dat er evenveel NTP servers zijn als DNS servers dus dit lijkt mij een probleem dat zichzelf oplost wanneer veel beheerders zullen gaan patchen.

[Reactie gewijzigd door mkools24 op 23 juli 2024 08:25]

marcelvb

@mkools24 • 13 februari 2014 22:29

Is het probleem niet dat een ISP/hoster pakketjes met gespooft source adres het internet op stuurt?

chowmonkey @mkools24 • 13 februari 2014 22:34

Dan zou Leaseweb op al hun cores moeten filteren want hun BGP routers routeren alleen maar. Dat is niet te betalen of de hostingtarieven gaan door het plafond.

mkools24 @chowmonkey • 14 februari 2014 01:23

Onzin, ik host tegenwoordig bij OVH en zij hebben superieure ddos protectie, Sterker nog hun ddos protectie is de beste op dit moment. Zij kunnen filteren tot 480 gbps dus deze aanval hadden ze zeker weerstaan en mochten de aanvallen groter worden dan zullen ze zeker hn systemen upgraden.

Zie ook http://www.ovh.nl/anti-ddos/

Ik werd voorheen ook constant aangevallen tot 40 gbps maar sinds OVH heb ik nergens geen last meer van, het kan dus wel en andere ISP's moeten dit voorbeeld volgen. Het is echt schandalig dat een partij als Leaseweb hier nog niks tegen biedt.

mxcreep @mkools24 • 14 februari 2014 23:20

Ook met deze technieken is het nog steeds prima mogelijk om zaken onbereikbaar te maken, misschien niet zo makkelijk het hele netwerk maar als ze het op een specifieke server hebben voorzien ben je echt nog wel de sjaak...

mkools24 @mxcreep • 16 februari 2014 17:04

Dat klopt maar dan heb je het over Layer 7 attacks, dus de aanval eruit laten zien als legitiem verkeer. Dat is zeker mogelijk maar itt een Layer 4 ddos, dus gewoon maar genoeg data versturen tot de pijp dicht zit zijn deze een stuk lastiger uit te voeren en niet elke kiddie met $5 in een Paypal account kan het, waar dat bij Layer 4 wel zo is.

chowmonkey @mkools24 • 15 februari 2014 08:29

Ik heb nog nooit van OVH gehoord en loop al een tijdje mee

Verder zijn naar mijn weten de meeste partijen er al mee bezig. Maar zoals zo vaak gaan ze pas bewegen als het echt actueel wordt. Heb jij enig idee wat ddos protectie kost?

mkools24 @chowmonkey • 16 februari 2014 17:03

Bij OVH dus niets en het werkt.

chowmonkey @mkools24 • 18 februari 2014 11:38

Ik bedoel de implementatie van ddos protectie voor een provider natuurlijk. En wie zegt dat het bij OVH goed werkt? Als het zo makkelijk zou zijn zouden we niet dagelijks lezen van ddos aanvallen. Ook op grote vermogende partijen. Ben benieuwd wat OVH met jouw servertje doet als je een 150 Gbit ddos trekt. Denk dat je gewoon een null route krijgt wat uiteraard voor de andere klanten een prima protectie is

mkools24 @chowmonkey • 18 februari 2014 15:34

OVH kan tot 480 gbps filteren, maar dat is alleen omdat zij een wereldwijd netwerk hebben en dus de aanval op 3 locaties filteren en niet centraal op een enkel netwerk.

De meeste providers hebben vaak maar één datacenter dus voor hen zal het idd lastiger worden.

walkstyle @NLAnaconda • 13 februari 2014 18:03

"brb fbi at door" "brb nsa at door" "Told the feds we were in the shower and they gave us a few minutes, we escaped through the window."
Goed gevoel voor humor hebben ze ook niet...

Bennnie 13 februari 2014 17:53

Heel interessant filmpje als je meer wilt weten! http://www.youtube.com/watch?v=4BPibf6C35E

Anoniem: 547741 @Bennnie • 13 februari 2014 20:12

Bedankt voor de link, leerzaam en vermakelijk.

CyberDonky 13 februari 2014 19:02

Een update voor het artikel, specifiekere stats

Traffic stats van NTP. http://3.bp.blogspot.com/...ification+DDoS+Attack.png

"The CloudFlare team has released more technical details on the above 400Gbps NTP amplification DDoS Attack. Hackers abused 4295 vulnerable NTP server, running on 1,298 different networks."

Bron: http://thehackernews.com/...-Service-DDoS-attack.html

WokeBroke 13 februari 2014 17:48

Op zich is 400 giga(bits) per seconde toch niet een zo veel voor bedrijven als Sony, Microsoft, EA games, Cloudflare. Of zie ik dat nou verkeerd?

loekf2

@WokeBroke • 13 februari 2014 17:54

Wel veel ....

Zie ander bericht op tweakers vandaag, als je bedenkt dat de NL-ix al 500 Gbps doet (AMX-ix zit op 2.6 Tbps) is het best veel.

Snap die DDOS aanvallen nooit zo. Get a life stakkers. Zie ze altijd beetje als hang-tuig die uit armoede maar bushokjes gaan slopen/meppen.

Soldaatje @loekf2 • 13 februari 2014 18:01

Waarom? Omdat het kan.
Het is niet goed te praten maar het is wel interessant om te volgen omdat het internet blijkbaar nogal wat zwakke plekken kent.
Natuurlijk hoop ik ook dat er verstandige mensen zijn die deze zwakheden kunnen aanpakken maar blijkbaar gebeurt dat dus niet.
Dit soort acties leggen misschien deze prioriteit bij de verstandige mensen wat hoger.

CAPSLOCK2000

Politiek en recht
Netwerk en systeembeheer

@Soldaatje • 13 februari 2014 19:07

Waarom? Omdat het kan.

Bij dit soort grote aanvallen betwijfel ik of het pure baldadigheid is. Zo'n aanval lanceer je niet vanaf je PC. Als we uitgaan van de getallen uit het artikel (400Gbps, 200x versterking) dan moet de aanvaller zelf minimaal 2Gbps ter beschikking hebben gehad. Waarschijnlijk flink veel meer. Daarbij zal er geinvesteerd moeten zijn in het opbouwen van een lijst van uitbuitbare servers. Dat is niet heel moeilijk maar het kost wel voorbereiding.
Dit is geen bushokje in elkaar schoppen maar het politiebureau in brand steken. Wie daar toe bereid is heeft wel een betere motivatie dan "ik verveelde me".

Natuurlijk hoop ik ook dat er verstandige mensen zijn die deze zwakheden kunnen aanpakken maar blijkbaar gebeurt dat dus niet.
Dit soort acties leggen misschien deze prioriteit bij de verstandige mensen wat hoger.

De verstandige ITers zijn het probleem niet. Er zijn meerdere achtergronden.

Ten eerste onbekendheid. NTP bestaat al bijna 30 jaar en pas nu begint het een probleem te worden, een jaar geleden wist niemand nog dat er iets moest gebeuren.
Ten tweede zit NTP niet alleen in professionele aparatuur maar ook in een hoop spul waar geen professionele beheerder bij betrokken is en dat vaak niet eens updatebaar of configureerbaar is.
Ten derde, als je het probleem al kent en de mogelijkheid hebt om er iets aan te doen kan het nog zijn dat je baas het niet nodig vindt om er tijd en moeite in te steken want je hebt er zelf niet veel aan, je doet het om de rest van de wereld te beschermen.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 08:25]

Avdo @CAPSLOCK2000 • 13 februari 2014 20:12

Ten tweede zit NTP niet alleen in professionele aparatuur maar ook in een hoop spul waar geen professionele beheerder bij betrokken is en dat vaak niet eens updatebaar of configureerbaar is.

Vrijwel alle routers, Android en Windows apparaten etc gebruiken NTP... Client. Naar mijn beste weten heeft dit echter niks te maken met NTP server... Daarnaast gaat het om apparaten die rechtstreeks een IP adres hebben op het internet, en niet achter een router, anders is de NTP service sowieso niet bereikbaar vanaf internet.

[Reactie gewijzigd door Avdo op 23 juli 2024 08:25]

CAPSLOCK2000

Politiek en recht
Netwerk en systeembeheer

@Avdo • 13 februari 2014 21:35

Wat betreft die android en windows-apparaten heb je gelijk, maar er zijn nog best wat hoop consumentenrouters gemaakt die ook voor ntp-server spelen.

De standaard NTP-server voor Linux bevat beide componenten. Je kan af en toe de client starten, of de server laten draaien. Het voordeel van de laatste keuze is dat je klok voortdurend wordt bijgestelt zodat je nooit grote sprongen hoeft te maken.

Naast consumentenrouters zijn er ook nog allerlei printers, kopieerapparaten, telefooncentrales en weet ik wat nog meer waar voor het gemak NTP op is gezet.
Tegenwoordig wordt er wat beter opgelet, maar er is nog een hoop oude spul dat al jarenlang werkt zonder dat iemand er naar omkijkt.

GigaPixels @WokeBroke • 13 februari 2014 17:54

Het gaat hier over piekmomenten en dan is 400Gbps toch wel erg veel.

In vergelijking: "NL-ix overschrijdt voor het eerst 500Gbit/s"

En dit nieuwsartikel gaat over een geheel internetexchange, niet mis dus die 400Gbps bovenop de normale traffic.

Freeaqingme @GigaPixels • 13 februari 2014 18:02

De grootste DDOS tot dusver was een DDOS van 300 Gbit op Spamhaus: http://blog.cloudflare.co...almost-broke-the-internet

Met 400Gbit wordt deze DDOS-aanval gezien als de grootste DDOS ever. Overigens gaat het bij een DDOS niet uitsluitend om de bandbreedte, ook het aantal packets (pps) speelt een rol.

De ip spoofing waarover in het artikel gesproken wordt kan voor wat UDP betreft alleen bij de bron voorkomen worden. De hosts die verantwoordelijk zijn voor het amplifyen kunnen NTP blokkeren van het internet voor inkomend verkeer.

[Reactie gewijzigd door Freeaqingme op 23 juli 2024 08:25]

Perkouw Moderator GCC @WokeBroke • 13 februari 2014 17:54

Door de hoge bandbreedte van de aanval van afgelopen maandag traden in meerdere delen van Europa internetproblemen op, hoewel Cloudflare zegt zelf slechts beperkt last van de aanval te hebben gehad.

Kennelijk inderdaad niet zo'n groot probleem voor een dergelijke organisatie.

Anoniem: 421001 @WokeBroke • 13 februari 2014 17:57

Het is niet alleen de bandbreedte, ook de handling van die requests kan zaken down doen gaan.

Douweegbertje @WokeBroke • 13 februari 2014 17:59

Ja en nee, het is namelijk nog eens extra en vaak ben je er zeker niet op berekend. Daarbij heb je dan bedrijven zoals cloudflare die het dus tegen kunnen houden omdat ze beter/makkelijker kunnen bij schalen. Punt is vaak dat ze ddos uitvoeren op bepaalde punten vóór het doelwit. Immers als je een "exchange" onderuit haalt die dus voor iets hangt, dan kun je er bar weinig aan doen.

Verder geilt cloudflare enorm op dit soort nieuws. immers staan ze enorm goed in het nieuws. Niet voor niets zit zo'n CEO op twitter te kwijlen. We moeten ook even wat dingen relativeren; ten eerste kost het meer data om requests terug te sturen, dan dat het daadwerkelijk kost om te sturen met NTP. Grote kans dat deze ddos "maar" 200-300Gbps was.

Laten we daarom ook niet al te moeilijk er over doen, cloudflare gooit wat zooi op twitter, maakt een zwaar niets zeggend blogje en vervolgens neemt letterlijk elke nieuwssite deze informatie over. Uiteindelijk valt het allemaal wel mee, en is het zeer zeker niet bijzonder. Immers, wat zijn nou 1200 servers/clients?

mxcreep @WokeBroke • 14 februari 2014 23:18

Vergeet niet dat een DDOS niet alleen om hoeveelheid traffic gaat... je kunt met een paar Mbit een server al flink op zijn knieen krijgen hoor.

Barreljan 13 februari 2014 19:30

Ze komen wel laat met deze berichten vind ik. Er is al sinds december een verhoogd aantal aanvallen via NTP te zien. Diverse providers in NL en ook daarbuiten zien dit al gebeuren. Ook security partijen (oa symantec) meldden dit ook al begin januari. Vanuit mijn werk (grote zakelijke hosting boer) hebben we op onze amsix en transit poorten ook NTP gefilterd staat. Het was erg duidelijk te zien dat de 'foute' ntp pakketten een random sourcepoort gebruikte terwijl een legitime ntp connectie destination én source poort van udp/123 gebruiken.

Vorig jaar DNS, nu NTP. What's next ?

CAPSLOCK2000

Politiek en recht
Netwerk en systeembeheer

@Barreljan • 13 februari 2014 21:40

SYN-amplificatie lijkt het volgende te zijn. Lang niet zo efficient als DNS of NTP maar het werkt met iedere TCP-poort.

WhatsappHack

Politiek en recht
Netwerk en systeembeheer

13 februari 2014 18:21

Toch ben ik skeptisch over de 400Gbit/sec claim, gezien de grafieken een veel lager beeld tonen. Iets waarvoor de CEO veel shit over zich heen krijgt op t moment.

Snow_King

13 februari 2014 18:55

Wij hebben gisteren nieuwe NTP servers ingericht en met iptables en ip6tables daar een limiet van 10 pps op gezet om zo te voorkomen dat WIJ mee doen aan een dergelijke DDoS.

Vorige week kregen wij een DDoS van ~25Gbit binnen van gespoofde NTP aanvallen.

GlowMouse 13 februari 2014 18:13

. Door het ip-adres van het doelwit te spoofen en zogenaamd vanaf dat ip-adres een monlist-verzoek naar een ntp-server te versturen, wordt een lijst met de laatste 600 ip-adressen die contact hebben gehad met de server naar het opgegeven ip-adres verstuurd.

Lekker voor de privacy weer. Het moet wel 'per ongeluk' standaard aangestaan hebben, want dit verwacht je niet van XS4ALL.

djiwie @GlowMouse • 13 februari 2014 18:27

Het kunnen ook NTP-servers zijn die door klanten van XS4ALL gedraaid worden. Dat is immers ook XS4ALL-netwerk.

PolarBear @djiwie • 13 februari 2014 19:05

XS4ALL kan wel wat doen tegen IP spoofing..

Pizzalucht @PolarBear • 13 februari 2014 22:13

Spoofing moet mogelijk zijn op het netwerk van de aanvaller.
Het netwerk van de NTP server heeft daar niks mee te maken, die krijgt de pakketjes binnen maar kan niet zien of de ip's zijn gespoofed.

Sp3dy 13 februari 2014 21:02

Ntp amplification is vergelijkbaar met dns amplification, waarbij dns-servers op dezelfde wijze via gespoofte ip-adressen worden verstookt. Cloudflare waarschuwt dat het amplification-aanvallen via het simple network management protocol nog gevaarlijker zijn, omdat die de aanvaller in staat stelt zijn aanvalscapaciteit met een factor 650 te vergroten. "We zien dat aanvallers er al mee experimenteren", aldus Cloudflare.

Als dit waar is kon cloudflare nog wel eens met een probleem komen te staan, edit* zie dat mijn beredenering niet klopt

[Reactie gewijzigd door Sp3dy op 23 juli 2024 08:25]

Pizzalucht @Sp3dy • 13 februari 2014 22:18

Eh, het gaat om een factor 650 van de verzonden pakketgroote vanaf de aanvaller:

Aanvaller stuurt een pakket van 1 byte naar SNMP server X, vervolgens stuurt X een pakket van 650 bytes naar slachtoffer Y.

Bij NTP was dit 1 op 206. Een SNMP aanval is dus ongeveer 3 keer zo efficiënt.

McGryphon @Pizzalucht • 23 februari 2014 22:08

Helemaal waar, echter als je ziet dat ze al aan 400 Gbps komen met NTP amplification, wat CloudFlare (toch zeker geen kleine jongen) op de knie"en krijgt, lijkt het me toch zeker een slecht vooruitzicht dat dit via SNMP amplification met verder vergelijkbare resources (bandbreedte daargelaten) de 1200 Gbps binnen handbereik komt. Als ze in plaats daarvan richting 30 Tbps hadden kunnen komen was elk potentieel doelwit natuurlijk proper fucked, maar houd in je achterhoofd dat ook met jouw correcte cijfers de meeste potentiele doelwitten volledig kansloos zijn.

3clectic 13 februari 2014 19:43

Ik hoor vanuit de Battlefield 4 community dat de aanval vooral gericht was op ArtificialAiming, een aimbot/ESP provider voor tal van games, waaronder ook BF4. Hier hun Facebook pagina waar ze zelf ook claimen het doelwit te zijn geweest:

https://www.facebook.com/...g/110079869021237?fref=ts

[Reactie gewijzigd door 3clectic op 23 juli 2024 08:25]