Otevřený NTP server použitelný pro útok

Poslední dobou se stále častěji řeší problémy s útoky skrze NTPd, a to převážně u operačních systémů FreeBSD. Problém přitom spočívá v tom, že je tato služba provozována, nebo spíše ponechána v defaultním nastavení a administrátoři serverů je tak nechávají nezabezpečené oproti všem doporučením.




Typical report:

Dne Út 31.pro.2013 10:14:16, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. napsal(a):
A public NTP server on your network participated in a very large-scale
attack against a customer of ours today, generating UDP responses
to spoofed requests with bogus timestamps that claimed to be from
the attack target.
[...]
If you have the ability to look at historical traffic data and
determine the true source of the spoofed traffic, please also do
this -- we'd love for this attacker himself to be shut down and for
his ISP to fix its network configuration in order to stop others
from spoofing. With the 10x amplification factor of NTP DRDoS
attacks, it only takes one machine on an unfiltered 1 Gbps link to
generate 10 Gbps of nearly untraceable attack traffic.


Popis problému z konference FreeBSD:


Ntpd ve FreeBSD má ve výchozím nastavení zakomentované "restrict default ignore", takže se dal v rámci tohoto typu útoku zneužít (v defaultni konfiguraci, na stroji bez firewallu).
http://svnweb.freebsd.org/base/release/9.2.0/etc/ntp.conf?view=markup


Řešením je odkomentování a zkonfigurování - restrict default ignore, viz. dokumentace:
http://support.ntp.org/bin/view/Support/AccessRestrictions#Section_6.5.1.2.1.


Autor: Jirka Dvořák


Zákaznická
podpora

Tento web používá k poskytování služeb a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Více...
Souhlasím