NTP protokolü, internete bağlı makinelerin saatlerini senkronize etmek için kullanılır. Saldırgan, public NTP (Network Time Protocol) sunucularını kullanarak hedef sistemi, bant genişliğini aşacak miktarda paketle maruz bırakarak trafiğin yavaşlamasına hatta sistemin servis dışı kalmasına neden olabilir. Saldırgan, botnetleri kullanarak ve isteği UDP üzerinden gerçekleştirerek saldırıyı güvence altına alır. Çünkü UDP, TCP gibi “Üçlü El Sıkışma” (Three-Way Handshake) yapmadan veri akışını sağlar. UDP’de kimlik kontrolü ve veri filtreleme olmadığı için paketler güvensiz ve hızlı bir şekilde iletilir.
NTP Amplification Saldırılarına Karşı Alınabilecek Önlemler
- Belirlenmiş miktarın üzerinde trafik oluşturan kullanıcılar sistem dışında bırakılabilir.
- Kaynak IP doğrulaması yapılarak, ağa gelen sahte paketler önlenebilir. Eğer ağın içinden, ağ dışından geliyor gibi görünen bir kaynak IP adresinden bir paket yönlendiriliyorsa, paketin sahte olduğu anlaşılır ve engellenir.
- NTP sunucularında monlist komutunun devre dışı bırakılması, sahte IP’lere izin veren ağlara giriş filtrelemesinin uygulanması ile amplification saldırıları engellenebilir.
- Monlist komutunu destekleyen NTP sunucuların sayısı azaltılabilir veya bu komut devre dışı bırakılabilir.
- Monlist güvenlik açığından etkilenmemek için 4.2.7 sürümünden önceki NTP yazılımları kullanılmamalıdır. Bu sürümden önceki yazılımların güncelleştirilmesi gerekir.
Leave a Reply