Čeština

Otevřený NTP server použitelný pro útok

Otevřený NTP server použitelný pro útok

Poslední dobou se stále častěji řeší problémy s útoky skrze NTPd, a to převážně u operačních systémů FreeBSD. Problém přitom spočívá v tom, že je tato služba provozována, nebo spíše ponechána v defaultním nastavení a administrátoři serverů je tak nechávají nezabezpečené oproti všem doporučením.

Typický report:


Dne Út 31.pro.2013 10:14:16, ddos-response@nfoservers.com napsal(a):
A public NTP server on your network participated in a very large-scale
attack against a customer of ours today, generating UDP responses
to spoofed requests with bogus timestamps that claimed to be from
the attack target.
[…]
If you have the ability to look at historical traffic data and
determine the true source of the spoofed traffic, please also do
this — we’d love for this attacker himself to be shut down and for
his ISP to fix its network configuration in order to stop others
from spoofing. With the 10x amplification factor of NTP DRDoS
attacks, it only takes one machine on an unfiltered 1 Gbps link to
generate 10 Gbps of nearly untraceable attack traffic.

Popis problému z konference FreeBSD:

Ntps ve FreeBSD má ve výchozím nastavení zakomentované „restrict default ignore“, takže se dal v rámci tohoto typu útoku zneužít (v defaultni konfiguraci, na stroji bez firewallu). https://svnweb.freebsd.org/base/release/9.2.0/etc/ntp.conf?view=markup

Řešením je odkomentování a zkonfigurování – restrict default ignore, viz dokumentace:
https://support.ntp.org/Support/AccessRestrictions#Section_6.5.1.2.1.

Autor: Jirka Dvořák

Nejlepší články

úložné boxy pro součástky a komponenty
Supermicro server s AMD CPU
Chladící infrastruktura s technologií freecooling