远距离使用低成本设备攻击NTP服务器


        几个无线方面的专家演示了如何用一个廉价的设备在远距离更改NTP(网络时间协议)设备的时间。
        NTP是互联网上最重要的协议之一,它用于同步计算机之间的时间。攻击一个NTP服务器可能造成严重的后果,它可以引起机器的时间不对应从而发生设备故障,还可以允许使用过期的证书或数字证书来对签名实体进行认证。
        网络时间协议(NTP)是一个分层的协议,根据离参考时钟的距离被分为很多层。层0代表参考时钟(即原子、GPS和无线电时钟(JJY、WWVB DCF77和WWVH)),其他层上的机器由前面的层级同步,同时也和同一层级上的系统同步来确保稳定性和鲁棒性。
        这两位安全研究人员已经证明了,可以通过一个廉价的设备在远距离用无线电来改变网络时间协议(NTP)服务器上的时间。研究人员解释说,为了成功修改NTP服务器上的时间,需要进行每次多达1,000秒的小修改,这样可以避免服务器崩溃。
        研究人员使用现成的组件来构建概念验证(PoC)设备,他们用这些设备来远程攻击NTP服务器。定制的系统能够发出假的GPS和JJY信号来干扰NTP服务器。在他们的测试中,这两位安全人员攻击了一台为移动设备提供时间同步的NTP服务器。这次攻击是非常危险的,攻击者可以在超过100米的距离启动一个GPS攻击,通过放大信号,这个距离可以被增加到超过2公里的距离。几乎任何配有GPS天线并利用GPS作为参考时钟的NTP服务器,都可以很容易受到黑客攻击。
        研究人员已经证实,针对NTP设备的攻击已经在欧洲、北美和中国广泛展开。