NTP 被利用進行分散式反射阻斷服務攻擊(DRDoS)
最後更新
2014年04月03日
發佈日期:
2014年02月07日
2277
觀看次數
風險: 高度風險
類型: 攻擊 - 分散式阻斷服務
網絡時間協定 (NTP) 及其他基於 UDP 的協定可被利用進行放大阻斷服務攻擊。採用 ntpd 4.2.7p26 之前版本而又預設了沒有限制詢問的 NTP 伺服器會受分散式反射阻斷服務 (DRDoS) 攻擊之影響。其他專屬的 NTP 服務亦有可能受到影響。
在 NTP DRDoS 的攻擊中,攻擊者將發送封包的源地址偽冒成受害人 IP 。當NTP 伺服器會回覆此請求,這個回覆的大小比初始的請求相對被放大,就會對受害人導致阻斷服務。當中兩個最高放大率的信息類別:REQ_MON_GETLIST 及 REQ_MON_GETLIST_1 分別會將原本的請求放大 3600 及 5500 倍。這個頻寬放大率 (BAF) 是一個根據伺服器發送的 UDP 負載位元數目相對該請求的 UDP 負載位元數目的頻寬倍增器。其他信息類別亦可被利用,不過 REQ_MON_GETLIST 及 REQ_MON_GETLIST_1 會製造最大的影響。
未驗證的遠端攻擊者可利用受影響的 NTP 伺服器對其他使用者進行分散式反射阻斷服務 (DRDoS) 攻擊。
有報告指該在 2013 年12月 NTP被廣泛濫用發動 DRDoS 攻擊。
有關 DRDoS 的詳情,請參閱 HKCERT 即將刊登的博錄文章。
影響
- 阻斷服務
受影響之系統或技術
- ntpd 4.2.7p26 之前 版本
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 若你能安裝更新:
更新至 ntpd 4.2.7p26 及以後版本。
- 若你未能安裝更新,或想在更新後加強 NTP 防護,請考慮以下建議:
- 在 /etc/ntp.conf 檔案加入「disable monitor」停用 REQ_MON_GETLIST 及 REQ_MON_GETLIST_1。你可以執行以下指令來檢查它們是否已停用:
# ntpdc
> monlist
***Server reports data not found
- 你亦可以透過以下網站檢查你的 NTP 伺服器能否被利用進行分散式反射阻斷服務:
http://openntpproject.org/
若得到類似結果,表示你的 NTP 伺服器是受影響的。
- 在 /etc/ntp.conf 檔案加入「disable monitor」停用 REQ_MON_GETLIST 及 REQ_MON_GETLIST_1。你可以執行以下指令來檢查它們是否已停用:
- 最佳做法
- 停用不需要使用的服務或連接埠。
- 如果你不需要設置公共 NTP 伺服器,應該將 NTP 只安裝成客戶端。
- 在你的防火牆上執行進入過濾(ingress filtering),即是阻擋任何源 IP 地址不在該網絡內的外出封包。
- 採取 secure NTP 範本:
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
- 停用不需要使用的服務或連接埠。
- ISP 請注意
- 如果你在營運 ISP,請檢查網絡設定,確定不容許偽冒通訊。強烈建議 ISP 執行 BCP38,以確定執行進入過濾(ingress filtering)。
- 如果你想知道更多關於你的 AS 上公開的 NTP 伺服器,請使用這網址:http://openntpproject.org/searchby-asn.cgi?search_asn=[AS number]
- 如果你在營運 ISP,請檢查網絡設定,確定不容許偽冒通訊。強烈建議 ISP 執行 BCP38,以確定執行進入過濾(ingress filtering)。
漏洞識別碼
資料來源
相關連結
分享至