Attaque avec votre serveur de temps: NTP attaque amplification (CVE-2013-5211)

13 janvier l'équipe américaine de préparation aux urgences informatiques (US-CERT) a émis un avertissement sur une nouvelle façon de les attaques DDoS.
Les ordinateurs infectés envoient demande monlist avec une adresse IP faux de l'expéditeur du NTP-serveur.
Demande monlist retourne une liste des 600 derniers clients ntpd.
Ainsi, une petite demande de l'ordinateur infecté à la victime est envoyé un grand flux UDP.
Telle est l'essence de l'amplification.
Unprotected NTP-serveur devient un chaînon intermédiaire involontaire d'attaque.
Version d'attaque de ntpd exposé à 4.2.7p26 (actuellement 4.2.6p5 stable).
Vérifiez la vulnérabilité de votre serveur peut être en cours d'exécution:
ntpdc -c monlist адрес_сервера
Si la commande retourne une liste de clients (et non «expiré, rien reçu»), le système est vulnérable.
élimination
Déjà il y a au moins 3 façons:
- 1) Mettre à jour vers la version ntpd 4.2.7p26. Les ports et FreeBSD installer la mise à jour à partir du net / ntp-devel ntpd.
Sans la mise à jour, vous pouvez:
- 2) monlist Désactiver dans ntp.conf, en ajoutant la ligne
disable monitor
- 3) Ou désactiver toutes les demandes de statut de serveur à la valeur par défaut de la restreindre
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noqueryrestrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
Peut-être que vous ne saviez même pas que votre NTP serveur visible à l'extérieur (-:.
Ensuite, désactivez l'accès à complètement.
J'ai rencontré ce problème en Novembre, quand le NTP trafic sur mon stratum1.net NTP public se 30GB par heure.
Je l'ai dit est pas seulement parce que même une charge de processeur Atom était inférieure à 5%.
Ensuite, je l'ai écrit un bash-script qui a regardé les statistiques de trafic pare-feu aux limites pour la dernière demi-heure (via netflow) et ajoute automatiquement une règle de refuser les clients trop actifs. Et deux mois plus tard, il est devenu clair qu'il était.
Commentaires
Commentant, gardez à l' esprit que le contenu et le ton de vos messages peuvent blesser les sentiments des gens réels, montrer du respect et de la tolérance à ses interlocuteurs, même si vous ne partagez pas leur avis, votre comportement en termes de liberté d'expression et de l' anonymat offert par Internet, est en train de changer non seulement virtuel, mais dans le monde réel. Tous les commentaires sont cachés à l'index, le contrôle anti - spam.