NTP反射放大攻擊頻繁需及時防御

文/鄭先偉

NTP反射放大攻擊頻繁需及時防御

文/鄭先偉

CERNET網(wǎng)內檢測DDoS攻擊達2000多次

11月教育網(wǎng)整體運行平穩(wěn)，未發(fā)現(xiàn)嚴重的安全事件。

由于本次事件統(tǒng)計的時間間隔較短，所以整體的投訴數(shù)量較以往減少很多。11月我們針對教育網(wǎng)內存在NTP放大攻擊缺陷的主機進行了通知清理工作。根據(jù)東南大學NJCERT的檢測，在2014年11月2日零時至3日24時的48小時內CERNET的38個主節(jié)點中的26個檢測到網(wǎng)內主機對網(wǎng)外地址的NTP反射放大式DDoS攻擊次數(shù)超過2200次，攻擊總流量超16TB。這其中，發(fā)送攻擊流量超過500M的網(wǎng)內主機共145臺，單臺主機最大攻擊強度超過475Mb/s，接收攻擊流量超過500M的網(wǎng)外服務器數(shù)量超過1400臺，單臺主機最大被攻擊強度超過1.77Gb/s。所有檢測到的被攻擊的服務器全部位于境外。38個主節(jié)點中的另外12個主節(jié)點在該時間段內未檢測到有主機參與該類型的DDoS攻擊。

對于此類放大攻擊，NTP服務器的管理員只需升級NTP程序版本或是關閉程序的monlist查詢功能便可避免服務被利用來攻擊。

病毒與木馬

近期沒有新增影響特別嚴重的木馬病毒，用戶感染病毒的主要風險依然來自于網(wǎng)頁瀏覽、網(wǎng)絡下載及電子郵件附件。

近期新增嚴重漏洞評述

微軟11月的例行安全公告共15個，其中4個為嚴重等級，9個為重要等級，兩個為中等水平。這些公告共修補了Windows系統(tǒng)、IE瀏覽器、Office軟件、.net組件、Exchange中存在的37個安全漏洞。這其中公告MS14-066需要特別關注，該公告修補了Windows系統(tǒng)中安全信道（Secure Channel)SSL及TLS協(xié)議實現(xiàn)中存在的一個嚴重安全漏洞，該漏洞允許攻擊者遠程通過提供安全信道的服務端口執(zhí)行任意系統(tǒng)命令。據(jù)稱該漏洞影響所有版本的Windows系統(tǒng)，且漏洞在Windows系統(tǒng)中已經存在十多年。由于該漏洞可以直接通過提供Schannel安全信道的服務端口來進行利用（如HTTPS的443端口），對Windows服務器系統(tǒng)危害非常大。如果非服務版本的系統(tǒng)中開放了使用Schannel信道的服務也可能會受此漏洞影響。該漏洞的詳細細節(jié)還未對外公布，所以可用的POC也暫時未見到。根據(jù)微軟發(fā)布的信息顯示,到目前為止還沒有檢測到與此漏洞相關的攻擊。不過隨著黑客對修補后schannel.dll文件逆向工程后，相信攻擊代碼很快會開發(fā)出來。Windows系統(tǒng)的管理員應該盡快安裝此漏洞的補丁程序，漏洞和補丁的詳細信息請參見：

2014年10月～11月安全投訴事件統(tǒng)計

https://technet.microsoft.com/ library/security/MS14-066。

安全提示

鑒于Windows系統(tǒng)Schannel安全信道遠程代碼執(zhí)行漏洞帶來的風險，我們建議所有Windows系統(tǒng)盡快安裝相應的補丁程序（不管系統(tǒng)是否使用了Schannel加密通道服務）。您可以通過查看系統(tǒng)的補丁安裝歷史來確認是否已經修補過此漏洞。如果系統(tǒng)中的補丁安裝歷史記錄中顯示已經安裝過KB2992611就說明此漏洞已經被修補，反之則存在該漏洞。

（作者單位為中國教育和科研計算機網(wǎng)應急響應組）