February 2014 Archives

NTP Amplification attacks 或 NTP Reflection attacks 是 2013 年底才出現的東西,
中文稱「NTP放大攻擊」
DNS Amplification Attack 的原理類似, 它是利用 NTP 中的 monlist 指令,
NTP Server 會回傳曾經 query 過它的 IP 及次數清單,
攻擊者只要假造攻擊目標的 IP, 送 query 封包給 NTP Server, 攻擊者只要少量的頻寬,
NTP Server 就會回應放大 N 倍的封包給攻擊目標, 形成 DDoS 攻擊.
一般用戶是不會架 NTP, 不過己知有一些監視器有啟動 NTP Server, 成為攻擊者利用的工具.

NTP Server 檢查
本機 ntpdc -n -c monlist 若有一堆結果表示 monlist 有開
遠端 nmap -sU -pU:123 -Pn -n --script=ntp-monlist.nse ntp.server.com
ntp-monlist.nse 可以在 nmap.org 網頁 下載

解決方法 for NTP admin
關掉 monlist, 在 /etc/ntp.conf 加入 disable monitor, 或將 NTPD 升至 4.2.7p26 以上版本

防治方法 for ISP
因為正常的 symmetric mode NTP 封包, src-port, dst-port 都是 udp 123 port, ntpdate 及 Windows 的校時都是這種模式,
只放行 src-port 及 dst-port 都是 udp 123 port 的封包, 其他 any to udp 123 port 擋
permit udp any eq 123 any eq 123
deny udp any any eq 123

ref.
【資安通報】NTP校時服務放大攻擊(NTP-reflection attacks)
NTP DoS reflection attacks
NTP reflection attack
Hackers Spend Christmas Break Launching Large Scale NTP-Reflection Attacks
Secure NTP Template

截錄 RFC 1305
@Z_TBL_BODY = TABLE HEADER, TABLE HEADER, TABLE HEADER
pkt.peerport, pkt.hostport, Mode
@Z_TBL_BODY = TABLE TEXT, TABLE TEXT, TABLE TEXT
NTP.PORT, NTP.PORT, symmetric active
NTP.PORT, not NTP.PORT, server
not NTP.PORT, NTP.PORT, client

About this Archive

This page is an archive of entries from February 2014 listed from newest to oldest.

January 2014 is the previous archive.

March 2014 is the next archive.

Find recent content on the main index or look in the archives to find all content.

Monthly Archives