跳至主內容

NTP 被利用進行分散式反射阻斷服務攻擊(DRDoS)

最後更新 2014年04月03日 發佈日期: 2014年02月07日 2277 觀看次數

風險: 高度風險

類型: 攻擊 - 分散式阻斷服務

類型: 分散式阻斷服務

網絡時間協定 (NTP) 及其他基於 UDP 的協定可被利用進行放大阻斷服務攻擊。採用 ntpd 4.2.7p26 之前版本而又預設了沒有限制詢問的 NTP 伺服器會受分散式反射阻斷服務 (DRDoS) 攻擊之影響。其他專屬的 NTP 服務亦有可能受到影響。

 

在 NTP DRDoS 的攻擊中,攻擊者將發送封包的源地址偽冒成受害人 IP 。當NTP 伺服器會回覆此請求,這個回覆的大小比初始的請求相對被放大,就會對受害人導致阻斷服務。當中兩個最高放大率的信息類別:REQ_MON_GETLISTREQ_MON_GETLIST_1 分別會將原本的請求放大 3600 及 5500 倍。這個頻寬放大率 (BAF) 是一個根據伺服器發送的 UDP 負載位元數目相對該請求的 UDP 負載位元數目的頻寬倍增器。其他信息類別亦可被利用,不過 REQ_MON_GETLISTREQ_MON_GETLIST_1 會製造最大的影響。

 

未驗證的遠端攻擊者可利用受影響的 NTP 伺服器對其他使用者進行分散式反射阻斷服務 (DRDoS) 攻擊。

 

有報告指該在 2013 年12月 NTP被廣泛濫用發動 DRDoS 攻擊。

 

有關 DRDoS 的詳情,請參閱 HKCERT 即將刊登的博錄文章。


影響

  • 阻斷服務

受影響之系統或技術

  • ntpd 4.2.7p26 之前 版本

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 若你能安裝更新:
    更新至 ntpd  4.2.7p26 及以後版本。
     
  • 若你未能安裝更新,或想在更新後加強 NTP 防護,請考慮以下建議:
    1. /etc/ntp.conf 檔案加入「disable monitor」停用 REQ_MON_GETLISTREQ_MON_GETLIST_1。你可以執行以下指令來檢查它們是否已停用:

      # ntpdc
      > monlist
      ***Server reports data not found

       
    2. 你亦可以透過以下網站檢查你的 NTP 伺服器能否被利用進行分散式反射阻斷服務:
      http://openntpproject.org/


      若得到類似結果,表示你的 NTP 伺服器是受影響的。
       
  • 最佳做法
    1. 停用不需要使用的服務或連接埠。
       
    2. 如果你不需要設置公共 NTP 伺服器,應該將 NTP 只安裝成客戶端。
       
    3. 在你的防火牆上執行進入過濾(ingress filtering),即是阻擋任何源 IP 地址不在該網絡內的外出封包。
       
    4. 採取 secure NTP 範本:
      http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
       
  • ISP 請注意
    1. 如果你在營運 ISP,請檢查網絡設定,確定不容許偽冒通訊。強烈建議 ISP 執行 BCP38,以確定執行進入過濾(ingress filtering)。
       
    2. 如果你想知道更多關於你的 AS 上公開的 NTP 伺服器,請使用這網址:http://openntpproject.org/searchby-asn.cgi?search_asn=[AS number]
       

漏洞識別碼


資料來源


相關連結