Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.
Une attaque par amplification NTP (Network Time Protocol) est un type d'attaque par déni de service distribué (DDoS) au cours de laquelle un attaquant usurpe l'adresse IP d'un serveur NTP vulnérable pour lui envoyer une requête, ce qui rend la réponse du serveur beaucoup plus importante que la normale. Ceci est ensuite amplifié et envoyé à la victime, inondant ses serveurs et le faisant ralentir ou planter complètement.
L'objectif d'une attaque par amplification NTP est d'inonder les ressources Internet de la cible d'une quantité écrasante de trafic. Ceci est réalisé en exploitant un serveur NTP qui a été mal configuré, permettant aux sources externes d'y accéder directement. En usurpant l'adresse IP de la victime et en exploitant un réseau de bots compromis, les attaquants peuvent accéder à une liste de serveurs NTP ouverts pour lancer l'attaque. Il en résulte une augmentation significative du trafic UDP (User Datagram Protocol) dirigé vers le réseau de la victime. De telles attaques ont de graves conséquences pour la victime, notamment des indisponibilités prolongées, une baisse de la productivité et une interruption des services pour les utilisateurs et les clients.
Comment puis-je prévenir une attaque par amplification NTP ?
La prévention des attaques par amplification NTP nécessite une configuration minutieuse de vos serveurs NTP afin que seuls les hôtes de confiance y aient accès. Elle implique également la surveillance de l'activité des utilisateurs sur votre système pour toute demande suspecte provenant de sources non fiables. Certaines des meilleures pratiques pour prévenir les attaques par amplification NTP incluent la désactivation de la liaison anonyme sur vos serveurs NTP, la restriction de l'accès aux seuls hôtes ou réseaux connus via des listes de contrôle d'accès (ACL) ou des pare-feu, la surveillance étroite du trafic utilisateur pour toute requête anormale provenant de sources externes, et la configuration de la limitation du débit sur vos systèmes afin que le trafic malveillant puisse être bloqué avant d'atteindre votre réseau. De plus, vous devez vous assurer que vos correctifs de sécurité sont à jour afin que toute vulnérabilité potentielle sur votre système soit rapidement supprimée.
Pour détecter une attaque en cours, les administrateurs doivent surveiller de près tous les modèles de trafic entrant et rechercher toute augmentation soudaine ou tout pic de requêtes provenant de sources externes, car cela pourrait indiquer une attaque en cours. En outre, les journaux de surveillance générés par les systèmes de détection d'intrusion devraient également révéler toute éventuelle tentative d'attaque par amplification, car celles-ci génèrent habituellement de nombreux faux positifs parmi les alertes lorsque des acteurs malveillants usurpent des adresses IP sources avec des valeurs fausses qui ne correspondent pas aux hôtes réseau légitimes ou aux adresses répertoriées dans les listes de contrôle d'accès ou les tables de pare-feu.
Répondre à une attaque par amplification NTP active nécessite une action rapide à la fois en termes d'atténuation de l'impact et d'identification de sa provenance, dans la mesure du possible, afin que des mesures appropriées puissent être prises contre les auteurs, si nécessaire, comme le signalement d'incidents d'exploitation. Les meilleures pratiques incluent le blocage des sources suspectes au niveau des pare-feu à l'aide des informations recueillies dans les journaux IDS/IPS ; la définition de limites de débit sur les liaisons en amont ; la limitation des débits de paquets ; la mise en œuvre de mesures antiusurpation telles que les contrôles de transfert de chemin inverse ; le déploiement de solutions d'atténuation de la couche applicative telles que les tunnels VPN IPsec ; la segmentation des réseaux en sections plus petites ; le filtrage du trafic sur la base de règles prédéfinies ; la gestion adéquate des correctifs ; la collaboration avec les FAI/les CDN le cas échéant ; la diminution des seuils de durée de vie utilisés par les clients ; le suivi des modifications apportées pendant les périodes où des attaques se produisent ; et la surveillance constante des journaux.
Pour se remettre d'une situation d'attaque active, il faut d'abord restaurer le service en déployant les mesures atténuantes décrites ci-dessus et identifier simultanément les causes profondes, telles que les services vulnérables laissés exposés en ligne sans configurations de sécurité appropriées, qui permettent l'accès des attaquants. La hiérarchisation des efforts permettra aux administrateurs de reprendre rapidement le contrôle des ressources compromises tout en prenant les mesures nécessaires pour renforcer davantage les configurations de sécurité globales, réduisant ainsi les risques d'attaques similaires à l'avenir.
Empêchez les attaques par amplification NTP et DDoS avec Akamai
Akamai propose une protection contre les attaques DDoS de bout en bout. Celle-ci agit comme une première ligne de défense, en fournissant des stratégies d'atténuation dédiées en bordure de l'Internet, par DNS distribué et dans le cloud, conçues pour éviter les dommages collatéraux et les points de défaillance uniques. Nos clouds DDoS spécialement conçus à cet effet offrent une fonction de nettoyage dédiée et d'une qualité d'atténuation supérieure. Ces services peuvent être adaptés aux besoins spécifiques des applications Web ou des services basés sur Internet.
Pour stopper les attaques NTP par amplification et autres attaques DDoS, l'une des solutions les plus efficaces est Akamai Prolexic, un service de nettoyage dans le cloud éprouvé qui protège des centres de données entiers et des infrastructures tournées vers Internet contre les attaques DDoS sur tous les ports et protocoles. Grâce à Prolexic, le trafic est acheminé par Anycast BGP dans des centres de nettoyage de grande capacité à travers le monde, où notre centre de commande des opérations de sécurité (SOCC) est capable de déployer des contrôles d'atténuation proactifs et/ou personnalisés pour arrêter instantanément les attaques. En acheminant le trafic vers le centre de nettoyage le plus proche, Prolexic est en mesure de bloquer les attaques au plus près de la source afin d'optimiser les performances des utilisateurs et de préserver la résilience du réseau via la distribution dans le cloud. Une fois le nettoyage terminé, le trafic inoffensif est renvoyé vers le client via des connexions actives logiques ou dédiées.
Disponible en tant que service permanent ou à la demande, Prolexic propose des modèles d'intégration flexibles pour répondre aux besoins de différentes stratégies de sécurité sur toutes les origines hybrides.
Grâce à Akamai Prolexic, vos équipes de sécurité peuvent :
- Réduire le risque d'attaques DDoS, notamment grâce aux contrôles d'atténuation proactifs et à l'accord de niveau de service (SLA) instantané de Prolexic.
- Arrêter les attaques par amplification NTP hautement complexes sans sacrifier la qualité de l'atténuation.
- Unifier les stratégies de sécurité en appliquant de manière cohérente les politiques d'atténuation des attaques DDoS dans toute votre entreprise, quel que soit l'endroit où les applications sont hébergées.
- Optimiser la réaction face aux incidents pour garantir la continuité des activités grâce à des exercices de validation de service, des guides d'exécution personnalisés et des exercices de préparation opérationnelle.
- Faire évoluer les ressources de sécurité grâce à notre solution entièrement gérée, soutenue par plus de 225 intervenants SOCC de première ligne.