NTP reflection

attack

2014/03/01 SatLT駆動開発01

自己紹介広島在住、広島を中心に勉強会に出没オープンソースカンファレンス2013Hiroshima地元実行委員 @oschiroshima の中の人

広島サーバユーザ友の会(仮称) はじめた奴

hiroshima.rb 広報担当? ・・・最近何もしていないような(汗

日本Androidの会 中国支部 運営スタッフ? ・・・最近全然何もしていないような(汗

Ustreamで勉強会の配信とかやってます。Twitter @takatayoshitake

注: お約束

今回は個人的な発表で仕事とか勤務先とかは

関係ありません。

あまりちゃんと確認出来てないの間違えてたら

ゴメンなさい。

会場の方に質問　　

● 先月(2014/02)ＮＴＰの大規模な

DDoS攻撃がありました

● Ａ 知ってる● Ｂ 知らない

– ア 100Gbps– イ 200Gbps– ウ 400Gbps

ntpd の monlist 機能を使ったDDoS 攻撃に関する注意喚起

● NTP Project が提供する ntpd の一部のバージョンには、NTP サーバの状態

を確認する機能 (monlist) が実装されており、同機能は遠隔からサービス運

用妨害 (DDoS) 攻撃に使用される可能性があります。

● NTP は、通常 UDP を使用して通信するため、容易に送信元 IP アドレスを

詐称することができます。また、monlist 機能は、サーバへのリクエストに対

して大きなサイズのデータを送信元 IP アドレスへ返送するため、攻撃者は攻

撃対象の IP アドレスを送信元 IP アドレスに偽装した問い合わせパケットを

NTP サーバに送信することで、大きなサイズのデータを攻撃対象 (Web サイト

など) に送りつけることができます。

http://www.jpcert.or.jp/at/2014/at140001.html

NTP DDoSの特徴

● UDPで比較的容易に詐称しやすい

ちょっとしたプログラムの知識があれば比較的容易に攻撃プログラムが作れる

● 小さなリクエストで大きなレスポンス

DDoSとして費用対効果が高い

● 利用できる踏み台が多い

NTPは古くから広く公開されている

NTP攻撃の概要図

NTP レスポンス例

一部抜粋

１１

２

３

Server192.168.1.118

Client192.168.1.120

１

２

３

小さな要求で大きな応答が返ってくる→攻撃に使いやすい

デモ

NTPセキュリティ対策

● ntpdへのアクセスを制限

– Firewall/iptables 等

● ntpd でアクセス制限

– restrict default ignore– restrict 192.168.xxx.xxx netmask 255.255.255.0 nomodify notrap– ※指定したIPからのみアクセス許可

● - ntpd の設定により、monlist 機能を無効にする

– ntp.conf に以下の1行を追加

– disable monitor

NTPを喋るのはサーバだけではない

NTP が DDoS 攻撃の踏み台として使用される問題

https://jvn.jp/vu/JVNVU96176042/

ベンダ ステータス ステータス最終更新日

アライドテレシス株式会社 該当製品あり 2014-02-04

古河電気工業株式会社 該当製品無し 2014-01-14

日本電気株式会社 該当製品あり（調査中） 2014-02-06

日立 該当製品あり（調査中） 2014-01-21

株式会社インターネットイニシアティブ 該当製品あり 2014-01-16

株式会社バッファロー 該当製品無し 2014-01-14

株式会社ビー・ユー・ジー 該当製品無し 2014-01-14

横河メータ＆インスツルメンツ株式会社 該当製品無し 2014-01-14

横河電機株式会社 該当製品無し（調査中） 2014-01-14

NTPセキュリティ対策はサーバだけではありません

● サーバだけでなく一般のブロードバンドルータ等、

組み込み機器にも影響があるので注意！

ご清聴

ありがとう

ございました