Abuso y mal uso del servidor NTP

Prácticas que provocan daños o degradación a un servidor de Protocolo de Tiempo de Red

El uso indebido de un servidor NTP ( Network Time Protocol ) puede ir desde inundarlo de tráfico (un ataque DDoS ) hasta violar la política de acceso del servidor o las reglas de interacción del NTP. En una carta abierta de Poul-Henning Kamp al fabricante de enrutadores D-Link en 2006, se denominó vandalismo NTP . ^[1] Este término se amplió posteriormente para incluir otros incidentes de forma retroactiva. Sin embargo, no hay pruebas de que alguno de estos problemas sea vandalismo deliberado. Suelen estar causados ​​por configuraciones predeterminadas poco previsoras o mal elegidas.

A finales de 2013 se observó una forma deliberada de abuso de servidores NTP, cuando se utilizaron como parte de ataques de denegación de servicio por amplificación . Algunos servidores NTP respondían a un único paquete de solicitud UDP "monlist", con paquetes que describían hasta 600 asociaciones. Al utilizar una solicitud con una dirección IP falsificada , los atacantes podían dirigir un flujo amplificado de paquetes a una red. Esto dio lugar a uno de los mayores ataques de denegación de servicio distribuidos conocidos en ese momento. ^[2]

Problemas comunes del cliente NTP

Los problemas más problemáticos han estado relacionados con las direcciones de servidor NTP codificadas en el firmware de los dispositivos de red de consumo. Como los principales fabricantes y OEM han producido cientos de miles de dispositivos que utilizan NTP y los clientes casi nunca actualizan el firmware de estos dispositivos, los problemas de tormentas de consultas NTP persistirán mientras los dispositivos estén en servicio.

Un error de software NTP particularmente común es generar paquetes de consulta en intervalos cortos (menos de cinco segundos) hasta que se recibe una respuesta.

• Cuando se coloca detrás de firewalls agresivos que bloquean las respuestas del servidor, esta implementación genera un flujo interminable de solicitudes de clientes a los servidores NTP bloqueados de diversas formas.
• Estos clientes demasiado entusiastas (en particular aquellos que sondean una vez por segundo) comúnmente representan más del 50% del tráfico de los servidores NTP públicos, a pesar de ser una fracción minúscula del total de clientes.

Si bien puede ser técnicamente razonable enviar algunos paquetes iniciales a intervalos cortos, es esencial para la salud de cualquier red que los reintentos de conexión del cliente se generen a tasas que disminuyen de forma logarítmica o exponencial para evitar la denegación de servicio .

Este método de reducción exponencial o logarítmica del protocolo se aplica a cualquier protocolo sin conexión y, por extensión, a muchas partes de los protocolos con conexión. Se pueden encontrar ejemplos de este método de reducción en la especificación TCP para el establecimiento de conexión, el sondeo de ventana cero y las transmisiones de mantenimiento de conexión.

Casos notables

Tardis y Trinity College, Dublín

En octubre de 2002, uno de los primeros casos conocidos de uso indebido de un servidor horario provocó problemas en un servidor web del Trinity College de Dublín . El tráfico se atribuyó en última instancia a copias defectuosas de un programa llamado Tardis ^[3], con miles de copias en todo el mundo que se pusieron en contacto con el servidor web y obtuvieron una marca de tiempo a través de HTTP. En última instancia, la solución fue modificar la configuración del servidor web para ofrecer una versión personalizada de la página de inicio (de tamaño muy reducido) y devolver un valor de hora falso, lo que provocó que la mayoría de los clientes eligieran un servidor horario diferente. ^[4]

Netgear y la Universidad de Wisconsin-Madison

El primer caso ampliamente conocido de problemas con el servidor NTP comenzó en mayo de 2003, cuando los productos de hardware de Netgear inundaron el servidor NTP de la Universidad de Wisconsin-Madison con solicitudes. ^[5] El personal de la universidad asumió inicialmente que se trataba de un ataque malicioso de denegación de servicio distribuido y tomó medidas para bloquear la inundación en el borde de su red. En lugar de disminuir (como lo hacen la mayoría de los ataques DDOS), el flujo aumentó, alcanzando 250.000 paquetes por segundo (150 megabits por segundo) en junio. Una investigación posterior reveló que cuatro modelos de enrutadores Netgear eran la fuente del problema. Se descubrió que el cliente SNTP (Simple NTP) en los enrutadores tiene dos fallas graves. Primero, se basa en un solo servidor NTP (en la Universidad de Wisconsin-Madison) cuya dirección IP estaba codificada en el firmware. Segundo, sondea el servidor a intervalos de un segundo hasta que recibe una respuesta. Se produjeron un total de 707.147 productos con el cliente defectuoso.

Netgear ha publicado actualizaciones de firmware para los productos afectados (DG814, ​​HR314, MR814 y RP614) que consultan los servidores propios de Netgear, sondean solo una vez cada diez minutos y dejan de funcionar después de cinco fallos. Si bien esta actualización corrige los fallos del cliente SNTP original, no resuelve el problema más grave. La mayoría de los consumidores nunca actualizarán el firmware de su enrutador, en particular si el dispositivo parece funcionar correctamente.

SMC y CSIRO

También en 2003, otro caso obligó a los servidores NTP del Laboratorio Nacional de Medición de la Organización de Investigación Científica e Industrial de la Mancomunidad de Australia ( CSIRO ) a cerrar al público. ^[6] Se demostró que el tráfico provenía de una mala implementación de NTP en algunos modelos de enrutadores SMC donde la dirección IP del servidor CSIRO estaba incorporada en el firmware. SMC ha publicado actualizaciones de firmware para los productos: se sabe que los modelos 7004VBR y 7004VWBR están afectados.

D-Link y Poul-Henning Kamp

En 2005, Poul-Henning Kamp , el administrador del único servidor NTP Stratum 1 danés disponible para el público en general, observó un enorme aumento en el tráfico y descubrió que entre el 75 y el 90% se originaba con los productos enrutadores de D-Link. Los servidores NTP Stratum 1 reciben su señal horaria de una fuente externa precisa, como un receptor GPS, un reloj de radio o un reloj atómico calibrado. Por convención, los servidores de tiempo Stratum 1 solo deben usarse en aplicaciones que requieren mediciones de tiempo extremadamente precisas, como aplicaciones científicas o servidores Stratum 2 con una gran cantidad de clientes. ^[7] Un enrutador de red doméstica no cumple ninguno de estos criterios. Además, la política de acceso del servidor de Kamp lo limitó explícitamente a los servidores conectados directamente al Danish Internet Exchange (DIX). El uso directo de este y otros servidores Stratum 1 por parte de los enrutadores de D-Link resultó en un enorme aumento del tráfico, lo que aumentó los costos de ancho de banda y la carga del servidor.

En muchos países, los servicios oficiales de cronometraje son proporcionados por una agencia gubernamental (como el NIST en los EE. UU.). Dado que no existe un equivalente danés, Kamp proporciona su servicio de cronometraje " pro bono público ". A cambio, DIX aceptó proporcionar una conexión gratuita para su servidor de tiempo bajo el supuesto de que el ancho de banda involucrado sería relativamente bajo, dado el número limitado de servidores y clientes potenciales. Con el aumento de tráfico causado por los enrutadores D-Link, DIX le solicitó el pago de una tarifa de conexión anual de 54.000 coronas danesas ^{[ cita requerida ]} (aproximadamente US$9.920 o €7.230 ^{[8] [9]} ).

Kamp se puso en contacto con D-Link en noviembre de 2005, con la esperanza de que solucionaran el problema y lo compensaran por el tiempo y el dinero que gastó en rastrear el problema y los cargos por ancho de banda causados ​​por los productos de D-Link. La empresa negó cualquier problema, lo acusó de extorsión y le ofreció una cantidad en compensación que Kamp afirmó que no cubría sus gastos. El 7 de abril de 2006, Kamp publicó la historia en su sitio web. ^[10] La historia fue recogida por Slashdot , Reddit y otros sitios de noticias. Después de hacerse pública, Kamp se dio cuenta de que los enrutadores de D-Link estaban consultando directamente a otros servidores de tiempo Stratum 1, violando las políticas de acceso de al menos 43 de ellos en el proceso. El 27 de abril de 2006, D-Link y Kamp anunciaron que habían "resuelto amistosamente" su disputa. ^[11]

Proveedores de TI y swisstime.ethz.ch

Desde hace más de 20 años, la ETH de Zúrich ofrece acceso abierto al servidor horario swisstime.ethz.ch para la sincronización horaria operativa. Debido al uso excesivo del ancho de banda, que supera los 20 GB/día de media, se ha hecho necesario dirigir el uso externo a grupos de servidores horarios públicos, como ch.pool.ntp.org . El uso indebido, causado principalmente por los proveedores de TI que sincronizan sus infraestructuras de clientes, ha generado demandas inusualmente altas en el tráfico de red, lo que ha obligado a la ETH a tomar medidas efectivas. A partir del otoño de 2012 ^[actualizar], la disponibilidad de swisstime.ethz.ch se ha modificado a acceso cerrado. Desde principios de julio de 2013 ^[actualizar], el acceso al servidor está bloqueado por completo para el protocolo NTP.

Snapchat en iOS

En diciembre de 2016, la comunidad de operadores NTPPool.org notó un aumento significativo en el tráfico NTP, a partir del 13 de diciembre. ^[12]

La investigación mostró que la aplicación Snapchat que se ejecuta en iOS era propensa a consultar todos los servidores NTP que estaban codificados en una biblioteca NTP de iOS de terceros, y que una solicitud a un dominio propiedad de Snapchat siguió a la inundación de solicitudes NTP. ^[13] Después de que se contactó a Snap Inc., ^[14] sus desarrolladores resolvieron el problema dentro de las 24 horas posteriores a la notificación con una actualización de su aplicación. ^[15] Como disculpa y para ayudar a lidiar con la carga que generaron, Snap también contribuyó con servidores de tiempo a los grupos NTP de Australia y Sudamérica. ^[16]

Las configuraciones predeterminadas propensas a errores se mejoraron ^[17] después de los comentarios de la comunidad NTP. ^{[18] [19] [ cita completa necesaria ]}

Pruebas de conectividad en extensores Wi‑Fi de TP-Link

El firmware de los extensores de Wi-Fi de TP-Link en 2016 y 2017 codificaba cinco servidores NTP, incluidos los de la Universidad de Fukuoka en Japón y los grupos de servidores NTP de Australia y Nueva Zelanda, y emitía repetidamente una solicitud NTP y cinco solicitudes DNS cada cinco segundos, consumiendo 0,72 GB por mes por dispositivo. ^[20] Las solicitudes excesivas se utilizaron indebidamente para impulsar una verificación de conectividad a Internet que mostraba el estado de conectividad del dispositivo en su interfaz de administración web. ^[20]

La sucursal de TP-Link en Japón reconoció el problema y presionó a la compañía para que rediseñara la prueba de conectividad y emitiera actualizaciones de firmware que solucionaran el problema para los dispositivos afectados. ^[21] Es poco probable que los dispositivos afectados instalen el nuevo firmware, ya que los extensores WiFi de TP-Link no instalan actualizaciones de firmware automáticamente ni notifican al propietario sobre la disponibilidad de actualizaciones de firmware. ^[22] La disponibilidad de actualizaciones de firmware de TP-Link también varía según el país, aunque el problema afecta a todos los extensores de rango WiFi vendidos a nivel mundial. ^{[20] [22]}

Se informa que los servidores de la Universidad de Fukuoka se cerrarán en algún momento entre febrero y abril de 2018, y deberían eliminarse de las listas de servidores de tiempo públicos de NTP. ^[23]

Soluciones técnicas

Después de estos incidentes, quedó claro que, además de indicar la política de acceso de un servidor, se necesitaba un medio técnico para hacerla cumplir. Uno de esos mecanismos se proporcionó ampliando la semántica de un campo de identificador de referencia en un paquete NTP cuando un campo de estrato es 0.

En enero de 2006 se publicó la RFC 4330, que actualizaba los detalles del protocolo SNTP , pero también aclaraba y ampliaba provisionalmente el protocolo NTP relacionado en algunas áreas. Las secciones 8 a 11 de la RFC 4330 son de particular relevancia para este tema (El paquete Kiss-o'-Death, Cómo ser un buen ciudadano de la red, Mejores prácticas, Consideraciones de seguridad). La sección 8 presenta los paquetes Kiss-o'-Death:

En NTPv4 y SNTPv4, los paquetes de este tipo se denominan paquetes Kiss-o'-Death (KoD) y los mensajes ASCII que transmiten se denominan códigos Kiss. ​​Los paquetes KoD recibieron su nombre porque uno de sus primeros usos era indicar a los clientes que dejaran de enviar paquetes que violaran los controles de acceso del servidor.

Chrony con seguridad de tiempo de red para compatibilidad con NTP (NTS)

Los nuevos requisitos del protocolo NTP no tienen efecto retroactivo y los antiguos clientes y las implementaciones de versiones anteriores del protocolo no reconocen KoD ni actúan en consecuencia. Por el momento, no existen medios técnicos adecuados para contrarrestar el uso indebido de los servidores NTP.

En 2015, debido a posibles ataques al Protocolo de Tiempo de Red, ^[24] se propuso un Proyecto de Seguridad de Tiempo de Red para NTP ( Borrador de Internet draft-ietf-ntp-using-nts-for-ntp-19 ) ^{[25] utilizando una implementación} de Seguridad de Capa de Transporte . El 21 de junio de 2019, Cloudflare inició un servicio de prueba en todo el mundo, ^[26] basado en un Proyecto de Internet anterior. ^[27]

Referencias

1. Kamp, Poul-Henning (8 de abril de 2006). "Carta abierta a D-Link sobre su vandalismo en NTP". FreeBSD . Archivado desde el original el 8 de abril de 2006 . Consultado el 8 de abril de 2006 .
2. Gallagher, Sean (11 de febrero de 2014). "El mayor ataque DDoS jamás dirigido a la red de distribución de contenido de Cloudflare". Ars Technica . Archivado desde el original el 7 de marzo de 2014. Consultado el 8 de marzo de 2014 .
3. "Tardis 2000". Archivado desde el original el 17 de agosto de 2019. Consultado el 13 de junio de 2019 .
4. Malone, David (abril de 2006). "HTTP no deseado: ¿quién tiene tiempo?" (PDF) . ;login: . USENIX Association . Archivado (PDF) desde el original el 28 de julio de 2013 . Consultado el 24 de julio de 2012 .
5. "Los enrutadores defectuosos inundan el servidor de tiempo de Internet de la Universidad de Wisconsin; Netgear coopera con la universidad para encontrar una solución". Universidad de Wisconsin-Madison . Archivado desde el original el 10 de abril de 2006. Consultado el 6 de julio de 2020 .
6. "Los dispositivos de red casi acaban con el reloj atómico". Taborcommunications.com. 11 de julio de 2003. Archivado desde el original el 4 de febrero de 2013. Consultado el 21 de julio de 2009 .
7. Lester, Andy (19 de febrero de 2006). "Ayude a salvar los servidores de tiempo en peligro". O'Reilly Net. Archivado desde el original el 18 de agosto de 2007. Consultado el 7 de agosto de 2007 .
8. "Conversor de divisas - Google Finance". Archivado desde el original el 2017-03-31 . Consultado el 2016-11-11 .
9. "Conversor de divisas - Google Finance". Archivado desde el original el 2017-03-31 . Consultado el 2016-11-11 .
10. Kamp, Poul-Henning (2006-04-27). "Carta abierta a D-Link sobre su vandalismo en NTP: actualización del 27 de abril de 2006". FreeBSD . Archivado desde el original el 2006-04-27 . Consultado el 2007-08-07 .
11. Leyden, John (11 de mayo de 2006). «D-Link resuelve una disputa con un 'experto en tecnología del tiempo'». The Register . Archivado desde el original el 10 de mayo de 2019. Consultado el 26 de mayo de 2020 .
12. "Incremento reciente del tráfico del pool NTP: 2016-12-20". Pool NTP . 2016-12-10. Archivado desde el original el 2016-12-21 . Consultado el 2016-12-20 .
13. "Archivo de listas de correo de NANOG: aumento reciente del tráfico del pool NTP: 2016-12-19". NANOG/opendac de shaw.ca. 2016-12-19. Archivado desde el original el 2017-09-24 . Consultado el 2016-12-20 .
14. "Archivo de la lista de correo de NANOG: aumento reciente del tráfico del pool NTP: 2016-12-20 18:58:57". NANOG/Jad Boutros de Snap inc. 2016-12-20. Archivado desde el original el 2017-04-19 . Consultado el 2017-04-19 .
15. "Archivo de la lista de correo de NANOG: aumento reciente del tráfico del pool NTP: 20/12/2016 22:37:04". NANOG/Jad Boutros de Snap inc. 20/12/2016. Archivado desde el original el 20/04/2017 . Consultado el 20/04/2017 .
16. "Archivo de la lista de correo de NANOG: aumento reciente del tráfico del pool NTP: 2016-12-21 02:21:23". NANOG/Jad Boutros de Snap inc. 2016-12-21. Archivado desde el original el 2017-04-19 . Consultado el 2017-04-19 .
17. "Biblioteca NTP de iOS: avance a v1.1.4; confirmación de Git en github.com". GitHub . 2016-12-20. Archivado desde el original el 2020-07-06 . Consultado el 2017-04-19 .
18. "Biblioteca NTP de iOS: Problema n.° 47: nombres de grupos NTP codificados; github.com". GitHub . 2016-12-19. Archivado desde el original el 2020-07-06 . Consultado el 2017-04-19 .
19. "Registro de incidentes de NTP Pool: carga excesiva en servidores NTP". NTP Pool . 2016-12-30. Archivado desde el original el 2017-04-19 . Consultado el 2017-04-19 .
20. Aleksandersen, Daniel (23 de noviembre de 2017). "El firmware del repetidor TP-Link desperdicia 715 MB al mes". Ctrl Blog . Archivado desde el original el 20 de diciembre de 2017 . Consultado el 21 de diciembre de 2017 .
21. "TP-Link製無線LAN中継器によるNTPサーバーへのアクセスに関して" (en japonés). TP-Link . 2017-12-20. Archivado desde el original el 20 de diciembre de 2017 . Consultado el 21 de diciembre de 2017 .
22. Aleksandersen, Daniel (2017-11-20). "TP-Link ofrece firmware obsoleto o inexistente en el 30% de sus sitios web europeos". Ctrl Blog . Archivado desde el original el 2017-12-22 . Consultado el 2017-12-21 .
23. "福岡大学における公開用NTPサービスの現状と課題" (PDF) (en japonés). Universidad de Fukuoka . Archivado (PDF) desde el original el 29 de enero de 2018 . Consultado el 29 de enero de 2018 .
24. Malhotra, Aanchal; Cohen, Isaac E.; Brakke, Erik; Goldberg, Sharon (21 de octubre de 2015). "Ataque al Protocolo de tiempo de red" (PDF) . Universidad de Boston . Archivado (PDF) del original el 2 de mayo de 2019 . Consultado el 23 de junio de 2019 . Exploramos el riesgo de que los atacantes de red puedan explotar el tráfico no autenticado del Protocolo de tiempo de red (NTP) para alterar la hora en los sistemas cliente
25. Franke, D.; Sibold, D.; Teichel, K.; Dansarie, M.; Sundblad, R. (30 de abril de 2019). Seguridad de tiempo de red para el protocolo de tiempo de red (html) . IETF . ID draft-ietf-ntp-using-nts-for-ntp-19 . Consultado el 23 de junio de 2019 .
26. Malhotra, Aanchal (2019-06-21). "Presentación de time.cloudflare.com". Blog de Cloudflare . Archivado desde el original (html) el 2019-06-21 . Consultado el 2019-06-23 . Usamos nuestra red global para brindar una ventaja en latencia y precisión. Nuestras 180 ubicaciones en todo el mundo usan anycast para enrutar automáticamente sus paquetes a nuestro servidor más cercano. Todos nuestros servidores están sincronizados con proveedores de servicios de tiempo de estrato 1 y luego ofrecen NTP al público en general, de manera similar a cómo funcionan otros proveedores de NTP públicos.
27. Franke, D.; Sibold, D.; Teichel, K.; Dansarie, M.; Sundblad, R. (17 de abril de 2019). Seguridad de tiempo de red para el protocolo de tiempo de red (html) . IETF . ID draft-ietf-ntp-using-nts-for-ntp-18 . Consultado el 23 de junio de 2019 .