Glossar / NTP-Amplification-Angriff

NTP-Amplification-Angriff

  • Fabian Sinner
  • Dezember 4, 2024

Inhalt

NTP-Amplification-Angriff

Ein NTP Amplification Angriff ist eine Form des Distributed Denial of Service (DDoS)-Angriffs, bei dem das Network Time Protocol (NTP) genutzt wird, um die Datenmenge zu vervielfachen. Dabei sendet der Angreifer gefälschte Anfragen an ungeschützte NTP-Server, die mit viel größeren Antworten an ein Ziel zurückgeschickt werden, wodurch dessen Netzwerk überlastet und lahmgelegt wird.

Wie funktioniert ein NTP-Amplification-Angriff?

Ein NTP Amplification Angriff ist ein spezialisierter Distributed Denial of Service (DDoS)-Angriff, bei dem das Network Time Protocol (NTP) missbraucht wird, um den Datenverkehr stark zu verstärken und die Verfügbarkeit eines Zielsystems zu stören oder vollständig lahmzulegen. Dieser Angriff nutzt die Möglichkeit, dass NTP-Server auf kleine Anfragen mit wesentlich größeren Antworten reagieren können, und kombiniert dies mit IP-Spoofing, um das Ziel mit massivem Datenverkehr zu überfluten.

  1. Gefälschte Anfragen (IP-Spoofing):

Der Angreifer sendet Anfragen an eine Reihe von NTP-Servern, wobei er die Absenderadresse der Pakete manipuliert, sodass sie die IP-Adresse des Ziels tragen. Dieser Trick – genannt IP-Spoofing – sorgt dafür, dass die Antworten der NTP-Server nicht an den tatsächlichen Absender (den Angreifer), sondern an das Opfer gesendet werden. Diese Anfragen sind oft sehr klein, um mit minimalem Aufwand einen großen Angriff zu starten.

  1. Verstärkung des Datenverkehrs (Amplifikation):

Das NTP-Protokoll ist darauf ausgelegt, auf bestimmte Anfragen mit umfangreichen Informationen zu reagieren. Ein besonders anfälliger Befehl ist der sogenannte monlist-Befehl, der eine Liste der letzten 600 Verbindungen an den NTP-Server zurückgibt. Der Angreifer sendet eine sehr kleine Anfrage (z. B. 1 Byte), erhält jedoch als Antwort vom NTP-Server Datenpakete, die 20 bis 200 Mal größer sein können (z. B. 1000 bis 2000 Byte). Dadurch wird der Datenverkehr erheblich verstärkt, ohne dass der Angreifer selbst viel Bandbreite verwenden muss.

Diese Verstärkung macht den Angriff besonders wirkungsvoll. Ein einzelner Angreifer kann mit geringem Aufwand mehrere Server gleichzeitig anfragen und so eine riesige Datenmenge erzeugen, die dann an das Ziel gesendet wird.

  1. Überlastung Netzwerks (Denial of Service):

Die durch die gefälschten Anfragen ausgelösten Antworten der NTP-Server werden an die gefälschte Absenderadresse, also an das Opfer, gesendet. Da diese Antworten um ein Vielfaches größer sind als die ursprünglichen Anfragen, wird das Netzwerk oder die Serverressourcen des Opfers rasch überlastet. Je nach Umfang des Angriffs kann dies dazu führen, dass der Netzwerkverkehr des Opfers blockiert wird, Dienste ausfallen oder der gesamte Server abstürzt.

Warum ist das NTP anfällig?

Das Network Time Protocol (NTP) wird hauptsächlich zur Synchronisation von Uhren in Computernetzwerken verwendet. Es läuft standardmäßig auf Port 123 und ist oft öffentlich zugänglich, da viele Systeme auf genaue Zeitstempel angewiesen sind. Insbesondere ältere Versionen von NTP enthalten Funktionen wie den monlist-Befehl, die große Mengen an Informationen zurückgeben. Viele dieser älteren Server sind oft schlecht konfiguriert, was sie für Amplifikationsangriffe anfällig macht.

Verstärkungsrate

Die Verstärkungsrate bei einem NTP-Amplification-Angriff beschreibt das Verhältnis zwischen der Größe der Anfrage und der Antwort. Diese Rate kann je nach NTP-Konfiguration das 20- bis 200-fache der ursprünglichen Anfrage betragen. Wenn der Angreifer also mehrere NTP-Server gleichzeitig ausnutzt, kann er mit minimalem Ressourcenaufwand enorme Mengen an Daten erzeugen.

Wie kann man einen NTP-Amplification-Angriff erkennen?

Ein NTP-Amplification-Angriff lässt sich durch eine Reihe von spezifischen Anzeichen und Analysen erkennen.

  • Plötzliche Überlastung des Netzwerks: Ein stark erhöhter Datenverkehr, der die Bandbreite überlastet und zu einer Verschlechterung oder Unterbrechung der Dienste führt, kann ein erstes Anzeichen sein.
  • Anstieg des eingehenden UDP-Verkehrs auf Port 123: NTP verwendet standardmäßig diesen Port. Ein ungewöhnlicher Anstieg von UDP-Daten auf diesem Port deutet auf verdächtige Aktivitäten hin.
  • Ungewöhnlicher ausgehender Traffic von eigenen NTP-Servern: Sollten eigene Server ungeschützt sein, kann es zu einer erhöhten Bandbreitennutzung durch große, unerwartete Datenmengen kommen, die an gefälschte Zieladressen gesendet werden.
  • IP-Spoofing-Muster: Das Auftreten von Anfragen mit gefälschten Absender-IP-Adressen deutet auf Angriffe hin. Netzwerküberwachungstools können helfen, diese Anfragen zu identifizieren.
  • Warnungen von Intrusion Detection Systemen (IDS): IDS/IPS-Systeme sind in der Lage, bekannte Signaturen von einem NTP-Amplification-Angriff zu erkennen und Alarm auszulösen.
  • Log-Analyse von NTP-Servern: Server-Logs können Hinweise auf verdächtig viele monlist– oder ähnliche Anfragen geben, die typischerweise in solchen Angriffen vorkommen.
Präzise Erkennung & blitzschnelle Mitigation

Erfahren Sie mehr über eine DSGVO-konforme, cloud-basierte und patentierte DDoS Protection, die hält, was sie verspricht.

Jetzt schützen

Wie kann man sich vor NTP-Amplification-Angriffen schützen?

Zum Schutz vor NTP Amplification Angriffen sind verschiedene technische Maßnahmen notwendig, um sowohl NTP-Server als auch Netzwerke abzusichern. Der erste Schritt besteht darin, sicherzustellen, dass alle NTP-Server auf die neueste Version aktualisiert sind. Dies ist entscheidend, da neuere Versionen von NTP viele bekannte Schwachstellen, wie den monlist-Befehl, standardmäßig deaktiviert haben. Sollte die Nutzung älterer NTP-Versionen unumgänglich sein, sollte der monlist-Befehl manuell deaktiviert werden.

Eine weitere effektive Schutzmaßnahme ist die Einschränkung des Zugriffs auf NTP-Server durch Konfigurationen, die sicherstellen, dass nur vertrauenswürdige IP-Adressen Anfragen stellen können. Firewalls und Access Control Lists (ACLs) sind hierfür nützliche Werkzeuge, da sie unerwünschten UDP-Datenverkehr auf Port 123 blockieren können. Um NTP-Server zusätzlich abzusichern, sollten diese nicht öffentlich zugänglich gemacht werden, wenn dies nicht zwingend erforderlich ist.

Ein wesentlicher Punkt zur Verhinderung von IP-Spoofing ist die Filterung des ein- und ausgehenden Datenverkehrs. Internet Service Provider (ISPs) sollten sogenannte Ingress- und Egress-Filter einsetzen, um zu verhindern, dass gefälschte IP-Adressen in das Netzwerk gelangen oder es verlassen.

Regelmäßige Netzwerküberwachung ist ein weiterer wichtiger Baustein, um einen NTP-Amplification-Angriff frühzeitig zu erkennen. Intrusion Detection Systeme (IDS) oder Intrusion Prevention Systeme (IPS) sind ebenfalls in der Lage, bekannte Angriffsmuster zu erkennen und Warnungen auszulösen.

Effektiver Schutz gegen NTP-Amplification-Attacken

Sollten Sie Fragen haben oder auf der Suche nach einer bewährten Schutzlösung sein, können Sie sich jederzeit bei uns melden. Unsere Cyber-Sicherheitsexperten werden Sie dann gerne beraten und mit Ihnen zusammen die bestmögliche Lösung finden.

Jetzt kontaktieren >>

Link11 Executive Talks: Cybercrime: kein Ende in Sicht – Die deutsche Wirtschaft im Visier
Link11 warnt vor gefährlichen DDoS-Angriffen durch ZZb00t
X