Cloudflare: NTP Sumber Serangan DDoS

Pagi ini membaca artikel dari Cloudflare tentang NTP Attack. NTP (Network Time Protocol) yang berguna untuk menyesuaikan waktu ternyata sangat berbahaya jika di salahgunakan oleh segelintir orang. Bahkan bisa jadi senjata nuklir di dunia maya. Tapi bagaimana bisa NTP yang ada di setiap platform desktop itu bisa sangat membahayakan?

Bagaimana NTP Attack bisa terjadi?

Hal ini di lihat dari bagaimana kerja dari NTP (Network Time Protocol) itu sendiri. Simpelnya, saat 1 orang request penyesuaian waktu maka NTP server akan melakukan sinkronisasi dalam beberapa waktu untuk menyamakan waktunya dengan si pengguna. Hanya dengan melakukan request 1x, NTP server mengirimkan packet data secara berulang di mana tiap packet berisi 234 bytes. Saat di telusuri menggunakan Wireshark, ternyata respon tersebut memanjang menjadi 10 bagian di mana totalnya menjadi 4,460 bytes.



Bisa di bayangkan bagaimana jadinya jika request tersebut dibuat terus menerus dalam jumlah yang sangat banyak. Untuk itu sangat penting untuk melakukan action secure dalam memproteksi NTP client. Ada tips dari team cymru untuk memproteksi NTP client dari Cisco IOS, Juniper JUNOS atau bisa menggunakan iptable jika di Linux.

Attacker menggunakan refleksi sebagai medianya dalam melangsungkan serangan secara besar-besaran. Hanya dengan request 1 orang dengan kecepatan seadanya, bisa berujung menjadi serangan 500 Gbps. Berikut ilustrasi dari Amplification attack.



Tidak tanggung-tanggung Cloudflare memberikan peta persebaran ancaman globalnya:



Beberapa ASN (Autonomus System Number) yang ikut tergabung:



Jika di lihat, Network ASN China salah satu yang paling besar ikut berpartisipas diikuti dengan OVH. Lalu bagaimana kita mengetahui apakah network kita ikut berpartisipas atau tidak. Cara mudahnya, kita lihat saja statistik network dari waktu ke waktu. Login ke solusvm master untuk VPS atau login ke statistic network integrated untuk versi dedicated server. Jika terlihat grafik ada yang menonjol, dalam arti konektivitas sangat besar bisa saja mencapai 100 Mbps untuk beberapa waktu, berarti sudah di pastikan server Anda ikut berpartisipasi dalam serangan besar-besaran NTP Attack yang masuk jaringan Cloudflare.

Komen:

Posting komen


Hanya dapat dilihat oleh admin.

Trackback:

http://dcyber09.blog.fc2.com/tb.php/15-40b315c5

Gunakan trackback untuk artikel ini (pengguna FC2 Blog).