安全でないNTPサーバーは、攻撃の不本意な仲介者になります。
4.2.7p26までのntpdのバージョンは攻撃に対して脆弱です(現在は安定した4.2.6p5)。
コマンドを実行して、サーバーの脆弱性を確認できます
コマンドが(「タイムアウト、受信なし」ではなく)クライアントのリストを表示する場合、システムは脆弱です。ntpdc -c monlist _
消去
少なくとも3つの方法:1) ntpdをバージョン4.2.7p26に更新します。 FreeBSDでは、ポートをアップグレードし、net / ntp-develからntpdをインストールします。
アップデートなしで、次のことができます。
2) ntp.confの行を追加してmonlistを無効にします
disable monitor
3)または、デフォルトの制限でサーバーステータス要求を無効にします
restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery
NTPサーバーが外部から見えることをまったく知らなかったかもしれません(-:それへのアクセスを完全に無効にします。
11月に公開NTP stratum1.netの NTPトラフィックが1時間あたり30GBになったときに、この問題に遭遇しました。 すぐではないことに気付きました Atomプロセッサでも、負荷は5%未満でした。 次に、過去30分間の境界ファイアウォールトラフィックの統計を( netflowを介して)参照するbashスクリプトを作成し、アクティブすぎるクライアントの拒否ルールを自動的に追加しました。 そして2ヶ月後、それが何であるかが明らかになりました。
ソース:
support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
www.kb.cert.org/vuls/id/348126
www.opennet.ru/opennews/art.shtml?num=38855
PS 最近のトピックでは、vmware esxi攻撃の特殊なケースが説明されました。