This page has been robot translated, sorry for typos if any. Original content here.

Angriff mit deinem Zeitserver: NTP-Verstärkungsangriff (CVE-2013-5211)

Атака с помощью вашего сервера времени: NTP amplification attack (CVE-2013-5211)

Am 13. Januar gab der US-Notfallkommando-Computer (US-CERT) eine Warnung über eine neue Methode der DDoS-Angriffe aus.

Infizierte Computer senden eine Monlist-Anfrage mit einer gefälschten IP-Adresse des Absenders an den NTP-Server.

Die Abfrage-Monlist gibt eine Liste der letzten 600 ntpd-Clients zurück.

So sendet eine kleine Anfrage vom infizierten Computer zum Opfer einen großen Strom von UDP.

Dies ist das Wesen der Verstärkung.


Ein ungeschützter NTP-Server wird zu einem ungewollten Vermittler des Angriffs.

Angriffe unterliegen Versionen von ntpd bis 4.2.7p26 (stabil jetzt 4.2.6p5).


Um den Server auf die Sicherheitsanfälligkeit zu testen, können Sie den folgenden Befehl ausführen:

ntpdc -c monlist адрес_сервера

Wenn der Befehl die Clients auflistet (und nicht "timed out, nothing received"), dann ist das System anfällig.

Beseitigung

Jetzt gibt es mindestens 3 Wege:

  • 1) Update ntpd auf Version 4.2.7p26. In FreeBSD aktualisiere die Ports und installiere ntpd aus net / ntp-devel.

Ohne ein Upgrade können Sie:

  • 2) Deaktivieren Sie die Monlist in ntp.conf, indem Sie die Zeile disable monitor
  • 3) Oder deaktivieren Sie alle Serverstatusabfragen in der Einschränkungsbeschränkungsbeschränkung restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery
    restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery


Vielleicht wussten Sie überhaupt nicht, dass Ihr NTP - Server draußen sichtbar ist (-:.

Dann deaktiviere den Zugriff darauf vollständig.


Ich lief in dieses Problem zurück im November, als NTP Verkehr auf meinem öffentlichen NTP stratum1.net wurde 30GB pro Stunde.

Ich habe das nicht sofort bemerkt. Auch auf dem Atom-Prozessor war die Last weniger als 5%.

Dann schrieb ich ein Bash-Skript, das die Traffic-Statistik der Boundance Firewall in der letzten halben Stunde (via Netflow) betrachtete und automatisch eine Deny-Regel für zu aktive Clients hinzufügte. Und nach zwei Monaten wurde klar, was es war.

Quellen:

Unterstützung.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

Www.kb.cert.org/vuls/id/348126

Www.opennet.ru/opennews/art.shtml?num=38855