Är du del i en pågående distribuerad belastningsattack?

2006-04-25

Ett stort antal av världens referensklockor på nätet står under en ständig och aldrig avtagande belastningsattack. Den utförs dygnet runt av inte ont anande konsumenter. Likheten med ett gigantiskt “botnet” är slående.

Det hela handlar om att D-Link har försett flertalet av sina routrar, brandväggar och accesspunkter med en hårdkodad lista med adresser till ett 50-tal Stratum 1 NTP-servrar. Återkommande skickar de en NTP-fråga slumpvis till någon av servrarna i listan. Besvaras inte frågan, som dessutom ställs med en uråldrig version av protokollet, så väljs en ny server i listan. Problemet är att många servrar inte svarar på förfrågningar med den uråldriga versionen av protokollet. Detta resulterar i att flertalet frågor förblir obesvarade varvid lasten ökar ytterligare. Mätningar som gjorts på Stratum 1 NTP-servern i Danmark visar att D-Linkutrustning står för upp till 90% av alla förfrågningar.

Att D-Link har valt att använda stratum 1 NTP-servrar är allvarligt. Förenklat är dessa synkroniserade direkt till en källa för UTC och är att betrakta som primära källor för tid. De är högst upp i NTP-hierarkin och är en referens för övriga NTP-servrar i hierarkin. Dessa är absolut inte tänkta att användas som en direkt tidskälla för ändutrustning utan dessa hänvisas till NTP-servrar med lägre stratum-nivå. Att D-Link använder dessa referensklockor för att synkronisera tid är inte bara ett brott mot flertalet av de NTP-policys som upprättats, det är också misshushållning av resurser och inte minst äventyrar de driften av dessa viktiga referensklockor.

Netgear gjorde en liknande fadäs våren 2003 där man hårdkodat adressen till NTP-servern på universitetet i Wisconsin i sina konsumentroutrar. Det drabbade visserligen bara en part, men å andra sidan fick universitetet lägga ner sin verksamhet en tid. Netgear förstod ganska snart sitt misstag, rättade till det samt bidrog dessutom med medel till universitetet som plåster på såren. D-Link har inte lärt sig av Netgears misstag. Trots massiv kritik under våren har de ignorerat den belastningsattack de är orsak till. I förra veckan kom en första kommentar där de nu lovar att inom kort ge besked hur de kommer att agera.

Detta problem har flera dimensioner. Den som utsätts för en attack likt denna har svårt att värja sig. Att neka trafik innebär dessvärre att trafiken ökar. Trafiken måste blockeras så nära källan det bara är möjligt för att ge effekt, vilket är svårt när det rör sig om miljontals olika källor. Även om D-Link tar sitt förnuft till fånga och korrigerar sitt misstag så tar det mycket lång tid innan programvaran i de aktuella utrustningarna uppdaterats. Konsumentledet är inte direkt känt för att uppdatera programvara i nätutrustningen och med tanke på den installerade volymen så kommer denna attack att pågå under mycket lång tid. Detta är dock ingen ursäkt för att tillverkaren inte skyndsamt skall rätta till denna allvarliga fadäs. Det du som D-Linkägare kan göra redan nu för att inte delta i den distribuerade belastningsattacken är att se till att du specificerar en NTP-server.

© 2006 Thomas Nilsson, Certezza AB