NTP Amplification Attack เป็นการโจมตี DDoS ที่อันตรายที่สุดรูปแบบหนึ่ง ใช้เซิร์ฟเวอร์ NTP เป็นตัวขยาย Traffic ได้มากถึง 556 เท่า ส่ง Request เพียง 1 MB แต่สร้าง Traffic กลับมาได้ถึง 556 MB บทความนี้อธิบายกลไกการโจมตีอย่างละเอียดและวิธีป้องกันที่ทำได้ทันที
NTP คืออะไร ทำไมถึงถูกใช้โจมตี
NTP หรือ Network Time Protocol เป็นโปรโตคอลสำหรับซิงค์เวลาของเครื่องคอมพิวเตอร์ให้ตรงกัน เซิร์ฟเวอร์ NTP กระจายอยู่ทั่วโลกเป็นส่วนสำคัญของโครงสร้างพื้นฐานอินเทอร์เน็ต ทุกเซิร์ฟเวอร์และทุกแอปพลิเคชันพึ่งพา NTP เพื่อให้เวลาถูกต้อง
ปัญหาคือ NTP Server หลายตัวมีคำสั่ง monlist ที่เปิดอยู่ ซึ่งผู้โจมตีสามารถใช้ประโยชน์ในทางที่ผิดเพื่อสร้าง Traffic มหาศาลโจมตีเป้าหมายได้
กลไกการโจมตี 3 ขั้นตอน
ขั้นตอนที่ 1 ปลอมแปลง IP ต้นทาง
ผู้โจมตีส่ง Request ไปยังเซิร์ฟเวอร์ NTP โดยปลอมแปลง Source IP ให้เป็น IP ของเหยื่อ (IP Spoofing) ทำให้เซิร์ฟเวอร์ NTP คิดว่า Request มาจากเหยื่อ
ขั้นตอนที่ 2 ใช้คำสั่ง monlist สร้าง Amplification
ผู้โจมตีใช้คำสั่ง monlist ซึ่งขอรายชื่อเครื่องที่เชื่อมต่อกับ NTP Server ล่าสุด 600 เครื่อง Request มีขนาดเพียงไม่กี่ไบต์ แต่ Response กลับมาใหญ่กว่าหลายร้อยเท่า นี่คือจุดที่เรียกว่า Amplification
ขั้นตอนที่ 3 Traffic ท่วมเป้าหมาย
เมื่อ NTP Server ส่ง Response ขนาดใหญ่กลับไปยัง IP ของเหยื่อที่ถูกปลอมแปลงไว้ เหยื่อได้รับ Traffic มหาศาลจนระบบไม่สามารถรองรับได้ เว็บไซต์หรือบริการล่มทันที อัตรา Amplification สูงถึง 556 เท่า ทำให้เป็นการโจมตีที่มีประสิทธิภาพร้ายแรงมาก
วิธีป้องกัน NTP Amplification Attack
สำหรับผู้ดูแล NTP Server
ปิดคำสั่ง monlist บน NTP Server เพื่อไม่ให้ถูกใช้เป็นตัว Amplify ใช้ Rate Limiting จำกัดจำนวน Request ต่อวินาที และใช้ BCP38 หรือ Ingress Filtering ป้องกัน IP Spoofing ที่ระดับเครือข่าย
สำหรับเจ้าของเว็บไซต์และบริการ
ใช้บริการ DDoS Protection สำหรับเซิร์ฟเวอร์ที่เปิดให้บริการสาธารณะ บริการด้านความปลอดภัยจาก DriteStudio ช่วยป้องกันการโจมตี DDoS ได้อย่างมีประสิทธิภาพ
สำหรับผู้ใช้ VPS และ Dedicated Server
ผู้ใช้VPS หรือDedicated Server ควรตรวจสอบว่า NTP Service ที่รันอยู่ไม่ได้เปิดเป็น Public NTP Server โดยไม่จำเป็น อัปเดต NTP Software เป็นเวอร์ชันล่าสุดเสมอ และตั้งค่า Firewall ให้บล็อก Traffic ที่น่าสงสัย
ทำไม NTP Amplification ถึงยังเป็นภัยคุกคาม
แม้จะเป็นรูปแบบการโจมตีที่รู้จักมานาน แต่ NTP Amplification ยังเป็นภัยคุกคามเพราะ NTP Server จำนวนมากทั่วโลกยังเปิดคำสั่ง monlist อยู่ ผู้โจมตีใช้ Botnet สแกนหา NTP Server ที่มีช่องโหว่แล้วนำมาใช้โจมตีได้ทันที
การป้องกันจึงต้องทำทั้งสองฝั่ง ทั้งผู้ดูแล NTP Server ที่ต้องปิดช่องโหว่ และเจ้าของเว็บไซต์ที่ต้องมีระบบรับมือ DDoS ที่พร้อม
คำถามที่พบบ่อย (FAQ)
NTP Amplification Attack ต่างจาก DNS Amplification อย่างไร?
หลักการเดียวกันคือใช้โปรโตคอลที่ให้ Response ใหญ่กว่า Request แต่ NTP มี Amplification Factor สูงกว่ามาก (556 เท่า vs 28-54 เท่าของ DNS)
เว็บไซต์ขนาดเล็กโดนโจมตี NTP Amplification ได้ไหม?
ได้ เว็บไซต์ทุกขนาดเป็นเป้าหมายได้ ยิ่งเว็บเล็กยิ่งมีทรัพยากรน้อยในการรับมือ จึงควรมีระบบ DDoS Protection ตั้งแต่เริ่มต้น
ตรวจสอบได้อย่างไรว่า NTP Server ของเราเปิด monlist อยู่ไหม?
ใช้คำสั่ง ntpdc -n -c monlist [IP] ถ้าได้ Response กลับมาแสดงว่าเปิดอยู่ ควรปิดทันที
ใช้ Cloudflare ป้องกัน NTP Amplification ได้ไหม?
ได้ Cloudflare และ CDN อื่นสามารถดูดซับ DDoS Traffic ได้ แต่ควรใช้ร่วมกับการตั้งค่า Firewall บนเซิร์ฟเวอร์ด้วย
ปกป้องเว็บไซต์และเซิร์ฟเวอร์ของคุณจากภัยคุกคาม DDoS วันนี้ DriteStudio มีบริการด้านความปลอดภัยที่ครอบคลุม พร้อมVPS และDedicated Server ที่มีระบบป้องกัน DDoS ในตัว