ntp reflection attack(2014/03/01 lt駆動開発01)
DESCRIPTION
NTP reflection attack 2014/03/01 LT駆動開発01 https://github.com/LTDD/Sessions/wiki/LT駆動開発01TRANSCRIPT
NTP reflection
attack
2014/03/01 SatLT駆動開発01
自己紹介広島在住、広島を中心に勉強会に出没オープンソースカンファレンス2013Hiroshima地元実行委員 @oschiroshima の中の人
広島サーバユーザ友の会(仮称) はじめた奴
hiroshima.rb 広報担当? ・・・最近何もしていないような(汗
日本Androidの会 中国支部 運営スタッフ? ・・・最近全然何もしていないような(汗
Ustreamで勉強会の配信とかやってます。Twitter @takatayoshitake
注: お約束
今回は個人的な発表で仕事とか勤務先とかは
関係ありません。
あまりちゃんと確認出来てないの間違えてたら
ゴメンなさい。
会場の方に質問
● 先月(2014/02)NTPの大規模な
DDoS攻撃がありました
● A 知ってる● B 知らない
– ア 100Gbps– イ 200Gbps– ウ 400Gbps
ntpd の monlist 機能を使ったDDoS 攻撃に関する注意喚起
● NTP Project が提供する ntpd の一部のバージョンには、NTP サーバの状態
を確認する機能 (monlist) が実装されており、同機能は遠隔からサービス運
用妨害 (DDoS) 攻撃に使用される可能性があります。
● NTP は、通常 UDP を使用して通信するため、容易に送信元 IP アドレスを
詐称することができます。また、monlist 機能は、サーバへのリクエストに対
して大きなサイズのデータを送信元 IP アドレスへ返送するため、攻撃者は攻
撃対象の IP アドレスを送信元 IP アドレスに偽装した問い合わせパケットを
NTP サーバに送信することで、大きなサイズのデータを攻撃対象 (Web サイト
など) に送りつけることができます。
http://www.jpcert.or.jp/at/2014/at140001.html
NTP DDoSの特徴
● UDPで比較的容易に詐称しやすい
ちょっとしたプログラムの知識があれば比較的容易に攻撃プログラムが作れる
● 小さなリクエストで大きなレスポンス
DDoSとして費用対効果が高い
● 利用できる踏み台が多い
NTPは古くから広く公開されている
NTP攻撃の概要図
NTP レスポンス例
一部抜粋
11
2
3
Server192.168.1.118
Client192.168.1.120
1
2
3
小さな要求で大きな応答が返ってくる→攻撃に使いやすい
デモ
NTPセキュリティ対策
● ntpdへのアクセスを制限
– Firewall/iptables 等
● ntpd でアクセス制限
– restrict default ignore– restrict 192.168.xxx.xxx netmask 255.255.255.0 nomodify notrap– ※指定したIPからのみアクセス許可
● - ntpd の設定により、monlist 機能を無効にする
– ntp.conf に以下の1行を追加
– disable monitor
NTPを喋るのはサーバだけではない
NTP が DDoS 攻撃の踏み台として使用される問題
https://jvn.jp/vu/JVNVU96176042/
ベンダ ステータス ステータス最終更新日
アライドテレシス株式会社 該当製品あり 2014-02-04
古河電気工業株式会社 該当製品無し 2014-01-14
日本電気株式会社 該当製品あり(調査中) 2014-02-06
日立 該当製品あり(調査中) 2014-01-21
株式会社インターネットイニシアティブ 該当製品あり 2014-01-16
株式会社バッファロー 該当製品無し 2014-01-14
株式会社ビー・ユー・ジー 該当製品無し 2014-01-14
横河メータ&インスツルメンツ株式会社 該当製品無し 2014-01-14
横河電機株式会社 該当製品無し(調査中) 2014-01-14
NTPセキュリティ対策はサーバだけではありません
● サーバだけでなく一般のブロードバンドルータ等、
組み込み機器にも影響があるので注意!
ご清聴
ありがとう
ございました