Hlavní navigace

NTPD je zneužitelný k DDoS útokům

Ondřej Caletka

Další a další protokoly založené na UDP se stávají prostředkem k páchání DoS útoků. Aktuálním případem je zneužití protokolu NTP sloužícího k distribuci přesného času. Tento protokol byl dlouho na okraji zájmu útočníků, protože jeho datové zprávy byly krátké a délka odpovědi byla shodná s délkou dotazu. NTP protokol ale dovoluje kromě přesného času přenášet i další informace o stavu serveru. A některé z těchto zpráv již bohužel splňují podmínku malý dotaz − velká odpověď, čímž se stávají vhodnými ke zneužití.

Ke zneužití funkce monlist (CVE-2013–5211, VU#348126) k DDoS útokům začlo docházet koncem loňského roku. Naštěstí, na rozdíl od jiných protokolů, je obrana možná i jinak než omezením povolených IP adres. Stačí upgradovat ntpd na verzi nejméně 4.2.7p26 z roku 2010, která pro podobné zprávy vyžaduje autentizaci pomocí nonce, takže tazatel musí prokázat, že je schopen poslouchat na IP adrese, ze které dotaz pokládá.

Ačkoli byl problém opraven už v roce 2010, vydání je dodnes označeno jako vývojové, takže není součástí většiny distribučních balíčků. Nechcete, nebo nemůžete-li upgradovat, je možné server proti zneužití funkce monlist zabezpečit přidáním následujícího řádku do souboru  ntp.conf:

disable monitor 

Další možností je pomocí volby noquery zakázat veškeré dotazy na stav NTP serveru, případně zablokovat i všechny dotazy na čas. Postup krok za krokem je popsán v dokumentaci NTPD.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?