Hlavní navigace

NTPD je zneužitelný k DDoS útokům

Ondřej Caletka 14. 1. 2014

Další a další protokoly založené na UDP se stávají prostředkem k páchání DoS útoků. Aktuálním případem je zneužití protokolu NTP sloužícího k distribuci přesného času. Tento protokol byl dlouho na okraji zájmu útočníků, protože jeho datové zprávy byly krátké a délka odpovědi byla shodná s délkou dotazu. NTP protokol ale dovoluje kromě přesného času přenášet i další informace o stavu serveru. A některé z těchto zpráv již bohužel splňují podmínku malý dotaz − velká odpověď, čímž se stávají vhodnými ke zneužití.

Ke zneužití funkce monlist (CVE-2013–5211, VU#348126) k DDoS útokům začlo docházet koncem loňského roku. Naštěstí, na rozdíl od jiných protokolů, je obrana možná i jinak než omezením povolených IP adres. Stačí upgradovat ntpd na verzi nejméně 4.2.7p26 z roku 2010, která pro podobné zprávy vyžaduje autentizaci pomocí nonce, takže tazatel musí prokázat, že je schopen poslouchat na IP adrese, ze které dotaz pokládá.

Ačkoli byl problém opraven už v roce 2010, vydání je dodnes označeno jako vývojové, takže není součástí většiny distribučních balíčků. Nechcete, nebo nemůžete-li upgradovat, je možné server proti zneužití funkce monlist zabezpečit přidáním následujícího řádku do souboru  ntp.conf:

disable monitor 

Další možností je pomocí volby noquery zakázat veškeré dotazy na stav NTP serveru, případně zablokovat i všechny dotazy na čas. Postup krok za krokem je popsán v dokumentaci NTPD.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Root.cz: Pinebook: linuxový notebook za 89 dolarů

Pinebook: linuxový notebook za 89 dolarů

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?