This page has been robot translated, sorry for typos if any. Original content here.

Angriff mit dem Zeit-Server: NTP Verstärkung Angriff (CVE-2013-5211)

Атака с помощью вашего сервера времени: NTP amplification attack (CVE-2013-5211)

13. Januar US Computer Emergency-Bereitschafts-Team (US-CERT) hat eine Warnung über eine neue Art von DDoS-Attacken.

Infizierte Computer senden Anfrage monlist mit einer gefälschten IP-Adresse des Absenders an den NTP-Server.

Monlist Anfrage liefert eine Liste der letzten 600 ntpd Kunden.

So eine kleine Anfrage von dem infizierten Computer mehr Opfer UDP-Stream zu senden.

Dies ist die Essenz der Verstärkung.


Ungeschützte NTP-Server wird unwissentlich Vermittler Angriff Link.

Angriff Version von ntpd zu 4.2.7p26 (derzeit stabil 4.2.6p5) ausgesetzt.


Überprüfen Sie Ihre Server-Schwachstelle kann den Befehl ausführen:

ntpdc -c monlist адрес_сервера

Wenn der Befehl eine Liste der Kunden zurückgibt (und nicht «Zeitüberschreitung, nichts empfangen»), dann ist das System anfällig.

Beseitigung

Jetzt gibt es mindestens drei Möglichkeiten:

  • 1) Aktualisieren Sie auf Version ntpd 4.2.7p26. Die FreeBSD-Ports aktualisieren und ntpd von net / ntp-devel installieren.

Ohne das Update können Sie:

  • 2) Disable monlist in ntp.conf, Hinzufügen Linie disable monitor
  • 3) oder schalten Sie alle Server Statusabfragen die auf Standard beschränken restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery
    restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery


Vielleicht wussten Sie nicht, dass Ihr NTP-Server nach außen sichtbar ist (-:.

Schalten Sie dann vollständig Zugriff auf ihn ab.


Ich habe dieses Problem bereits im November, wenn der NTP-Verkehr auf meiner öffentlichen NTP stratum1.net 30GB pro Stunde wurde.

Ich sagte, das ist nicht nur, weil sogar Atom Prozessorlast betrug weniger als 5%.

Dann schrieb ich einen Bash-Skript, das Grenz Firewall-Traffic-Statistiken für die letzte halbe Stunde sah (via netflow) und automatisch Regeln hinzufügen zu aktiven Kunden zu verweigern. Und zwei Monate später wurde klar, dass es war.

Quellen:

support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

www.kb.cert.org/vuls/id/348126

www.opennet.ru/opennews/art.shtml?num=38855