This page has been robot translated, sorry for typos if any. Original content here.

Attaque avec votre serveur de temps: Attaque d'amplification NTP (CVE-2013-5211)

Атака с помощью вашего сервера времени: NTP amplification attack (CVE-2013-5211)

Le 13 janvier, l'US Emergency Command Computer (US-CERT) a émis un avertissement au sujet d'une nouvelle méthode d'attaques DDoS.

Les ordinateurs infectés envoient une requête de liste avec une adresse IP falsifiée de l'expéditeur au serveur NTP.

La monlist de requête renvoie une liste des 600 derniers clients ntpd.

Ainsi, une petite requête de l'ordinateur infecté à la victime envoie un grand flux d'UDP.

C'est l'essence de l'amplification.


Un serveur NTP non protégé devient un intermédiaire involontaire de l'attaque.

Les attaques sont soumises aux versions de ntpd à 4.2.7p26 (stable maintenant 4.2.6p5).


Vérifiez votre serveur pour la vulnérabilité en exécutant la commande suivante:

ntpdc -c monlist адрес_сервера

Si la commande répertorie les clients (et non "expiré, rien reçu"), le système est vulnérable.

Élimination

Maintenant, il y a au moins 3 façons:

  • 1) Mettez à jour ntpd vers la version 4.2.7p26. Dans FreeBSD, mettez à jour les ports et installez ntpd à partir de net / ntp-devel.

Sans mise à niveau, vous pouvez:

  • 2) Désactiver la monlist dans ntp.conf en ajoutant le disable monitor ligne
  • 3) Ou désactiver toutes les requêtes d'état du serveur en restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery
    restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery


Peut-être que vous ne saviez pas du tout que votre serveur NTP est visible à l'extérieur (-:.

Ensuite, désactivez complètement l'accès.


J'ai rencontré ce problème en novembre, lorsque le trafic NTP sur mon NTP public stratum1.net est passé à 30 Go par heure.

Je l'ai remarqué pas immédiatement, tk. même sur le processeur Atom, la charge était inférieure à 5%.

Ensuite, j'ai écrit un script bash qui a regardé les statistiques de trafic du pare-feu de frontière dans la dernière demi-heure (via netflow) et a automatiquement ajouté une règle de refus pour les clients trop actifs. Et en deux mois, il est devenu clair ce que c'était.

Sources:

support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

www.kb.cert.org/vuls/id/348126

www.opennet.ru/opennews/art.shtml?num=38855