Attaque avec votre serveur de temps: NTP attaque amplification (CVE-2013-5211)

Атака с помощью вашего сервера времени: NTP amplification attack (CVE-2013-5211)

13 janvier l'équipe américaine de préparation aux urgences informatiques (US-CERT) a émis un avertissement sur une nouvelle façon de les attaques DDoS.

Les ordinateurs infectés envoient demande monlist avec une adresse IP faux de l'expéditeur du NTP-serveur.

Demande monlist retourne une liste des 600 derniers clients ntpd.

Ainsi, une petite demande de l'ordinateur infecté à la victime est envoyé un grand flux UDP.

Telle est l'essence de l'amplification.


Unprotected NTP-serveur devient un chaînon intermédiaire involontaire d'attaque.

Version d'attaque de ntpd exposé à 4.2.7p26 (actuellement 4.2.6p5 stable).


Vérifiez la vulnérabilité de votre serveur peut être en cours d'exécution:

ntpdc -c monlist адрес_сервера

Si la commande retourne une liste de clients (et non «expiré, rien reçu»), le système est vulnérable.

élimination

Déjà il y a au moins 3 façons:

  • 1) Mettre à jour vers la version ntpd 4.2.7p26. Les ports et FreeBSD installer la mise à jour à partir du net / ntp-devel ntpd.

Sans la mise à jour, vous pouvez:

  • 2) monlist Désactiver dans ntp.conf, en ajoutant la ligne disable monitor
  • 3) Ou désactiver toutes les demandes de statut de serveur à la valeur par défaut de la restreindre restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery
    restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery


Peut-être que vous ne saviez même pas que votre NTP serveur visible à l'extérieur (-:.

Ensuite, désactivez l'accès à complètement.


J'ai rencontré ce problème en Novembre, quand le NTP trafic sur mon stratum1.net NTP public se 30GB par heure.

Je l'ai dit est pas seulement parce que même une charge de processeur Atom était inférieure à 5%.

Ensuite, je l'ai écrit un bash-script qui a regardé les statistiques de trafic pare-feu aux limites pour la dernière demi-heure (via netflow) et ajoute automatiquement une règle de refuser les clients trop actifs. Et deux mois plus tard, il est devenu clair qu'il était.

Sources:

support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

www.kb.cert.org/vuls/id/348126

www.opennet.ru/opennews/art.shtml?num=38855