NTP脆弱性を悪用したDDos攻撃の対応策

NTP Project が提供する ntpd の一部のバージョンには、NTP サーバの状態 を確認する機能 (monlist) が実装されており、同機能は遠隔からサービス運 用妨害 (DDoS) 攻撃に使用される可能性があります。
攻撃者は送信元IPアドレスを攻撃対象とする端末のIPアドレスに偽装していることから、状態確認のための問い合わせパケット(monlist機能)をNTPサーバへ送信することで、その回答(問い合わせ先としたNTPサーバの状態)を攻撃対象とする端末へ送信させることができます。 なおNTPサーバから送信されるデータサイズ(monlistの回答)は、問い合わせ時におけるデータサイズの数十倍から数百倍となるために、大変に大きなデータサイズとなって攻撃対象とした端末へ送信されます。

ntpdを利用されているシステムでは、monlist 機能を無効する必要があります。

ntpdのmonlist 機能を無効する手順

ntpdバージョンの確認
安定版の 4.2.6.x は全て影響を受けます。
# ntpq -c rv
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.6p5@1.2349-o Sat Nov 23 18:21:48 UTC 2013 (1)",
processor="x86_64", system="Linux/2.6.32-431.el6.x86_64", leap=00,
stratum=4, precision=-24, rootdelay=33.292, rootdisp=148.181,
refid=10.5.0.31,
reftime=d76a2f38.246df503 Fri, Jul 11 2014 18:39:04.142,
clock=d76a35c7.2edf57d8 Fri, Jul 11 2014 19:07:03.183, peer=22285,
tc=10, mintc=3, offset=2.500, frequency=20.456, sys_jitter=0.000,
clk_jitter=2.486, clk_wander=0.001

ntpdの設定変更
ntp.conf 内に 「disable monitor」を追加して monlist 機能を無効にする
# vi /etc/ntp.conf
disable monitor

設定の反映
# service ntpd restart

同期の確認
念のため正常に時刻同期ができるいることを確認する。
# ntpq -p
※設定反映から数分経過後、確認

Google+