Vlákno názorů k článku
NTPD je zneužitelný k DDoS útokům od Milan Keršláger - Musel jsem svůj server z pool.ntp.org vyřadit už...

Musel jsem svůj server z pool.ntp.org vyřadit už loni na podzim, protože byl opakovaně zneužíván k reflection attacku. Ten se bohužel takhle jednoduše nevyřeší, protože provoz u mne nebyl příliš velký, ale moje odpovědi byly součástí DDos útoku vedeného přes tisíce různých ntpd. Dokonce to nevyřešil ani rate limit, protože zdroje i cíle odpovědí se měnily (různé DDos nebo plošný DDos na balík IP adres). Takže se obávám, že tohle je jen polovičaté řešení.

Samotný přenos časových zpráv nepředstavuje problém, jsou to zprávy srovnatelně velké s TCP handshake hlavičkou, kterou lze odrazit od kterékoli služby postavené nad TCP.

Oproti tomu funkce monlist byla schopná na dotaz délky 192 B vygenerovat 100 odpovědí po 440B. (tedy 100× více paketů a 229× více dat). Samozřejmě, pokud server není určen k poskytování přesného času, je nejbezpečnější přístup k němu zcela zablokovat. Rozhodně ale není místo pro nějaké přehnané obavy z provozování veřejného NTP serveru.