This page has been robot translated, sorry for typos if any. Original content here.

Angriff mit Ihrem Zeitserver: Angriff mit NTP-Verstärkung (CVE-2013-5211)

Атака с помощью вашего сервера времени: NTP amplification attack (CVE-2013-5211)

13. Januar Das US Computer Emergency Readiness Team (US-CERT) warnt vor einer neuen Methode für DDoS-Angriffe.

Infizierte Computer senden eine Monlist-Anfrage mit einer gefälschten IP-Adresse des Absenders an den NTP-Server.

Die Monlist-Anforderung gibt eine Liste der letzten 600 NTPD-Clients zurück.

Somit wird ein kleiner UDP-Stream durch eine kleine Anfrage vom infizierten Computer an das Opfer gesendet.

Dies ist das Wesen der Verstärkung.


Ein ungeschützter NTP-Server wird zu einem unbeabsichtigten Zwischenangreifer.

Ntpd-Versionen bis 4.2.7p26 (stabil jetzt 4.2.6p5) sind Angriffen ausgesetzt.


Sie können Ihren Server auf Sicherheitslücken überprüfen, indem Sie den folgenden Befehl ausführen:

ntpdc -c monlist адрес_сервера

Wenn das Team eine Liste von Clients ausgibt (und keine Zeitüberschreitung, nichts empfangen wird), ist das System anfällig.

Beseitigung

Es gibt bereits mindestens 3 Möglichkeiten:

  • 1) Aktualisieren Sie ntpd auf Version 4.2.7p26. Aktualisieren Sie unter FreeBSD die Ports und installieren Sie ntpd von net / ntp-devel.

Ohne Aktualisierung können Sie:

  • 2) Deaktivieren Sie die Monlist in der Datei ntp.conf, indem Sie den Line Disable Monitor hinzufügen
  • 3) Oder deaktivieren Sie alle Serverstatusanforderungen in "Standard restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery
    restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery


Vielleicht wussten Sie gar nicht, dass Ihr NTP-Server von außen sichtbar ist (-:.

Deaktivieren Sie dann den Zugriff darauf vollständig.


Ich bin im November auf dieses Problem gestoßen, als der NTP-Verkehr auf meinem öffentlichen NTP-stratum1.net 30 GB pro Stunde betrug.

Ich habe es nicht sofort gemerkt, weil Selbst bei einem Atom-Prozessor betrug die Auslastung weniger als 5%.

Dann schrieb ich ein Bash-Skript, das die Statistiken der Boundary-Firewall für die letzte halbe Stunde (über Netflow) ansah und die Ablehnungsregel für sehr aktive Clients automatisch hinzufügte. Und nach zwei Monaten wurde klar, dass es war.

Quellen:

support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

www.kb.cert.org/vuls/id/348126

www.opennet.ru/opennews/art.shtml?num=38855