ntpd の monlist 機能を使った DDoS 攻撃に関する対策

ntpd の monlist 機能を使った DDoS 攻撃に関する対策

ntpd の monlist 機能を使った DDoS 攻撃について最近話題となっていますね。

jpcertのサイトには、以下のように記述されています。

各位

                                                   JPCERT-AT-2014-0001
                                                             JPCERT/CC
                                                            2014-01-15

                  <<< JPCERT/CC Alert 2014-01-15 >>>

         ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
            https://www.jpcert.or.jp/at/2014/at140001.html

I. 概要

  NTP Project が提供する ntpd の一部のバージョンには、NTP サーバの状態
を確認する機能 (monlist) が実装されており、同機能は遠隔からサービス運
用妨害 (DDoS) 攻撃に使用される可能性があります。

  NTP は、通常 UDP を使用して通信するため、容易に送信元 IP アドレスを
詐称することができます。また、monlist 機能は、サーバへのリクエストに対
して大きなサイズのデータを送信元 IP アドレスへ返送するため、攻撃者は攻
撃対象の IP アドレスを送信元 IP アドレスに偽装した問い合わせパケットを
NTP サーバに送信することで、大きなサイズのデータを攻撃対象 (Web サイト
など) に送りつけることができます。

  JPCERT/CC では、ntpd の monlist 機能を使った DDoS 攻撃に関するインシ
デント報告を受けています。また、JPCERT/CC が運用するインターネット定点
観測システム (TSUBAME) *1 においても、NTP サーバを探索するパケットが増
加していることを確認しており、今後も同攻撃が継続すると想定されます。

 *1 JPCERT/CC が運用する、アジア・太平洋インターネット定点観測システム
    https://www.jpcert.or.jp/tsubame/

  自身で運用しているサーバや、使用しているネットワーク機器に NTP サーバ
機能が組み込まれていて、知らない間に DDoS 攻撃に使用される可能性も考え
られます。自身の運用しているサーバや、使用しているネットワーク機器で
ntpd が稼働しているか確認し、適切な設定を行うことを推奨します。

II. 対象

  NTP Project の情報によると、以下のバージョンが影響を受けます。

  ntpd 4.2.7p26 より前のバージョン
  *) 安定版の 4.2.6.x は全て影響を受けます。

  以下のコマンドで ntpd のバージョンを確認することが出来ます。

  ntpq -c rv

III. 対策

  NTP Project から monlist 機能の一部を修正し、DDoS 攻撃の影響を低減さ
せた開発版の ntpd が公開されています。ntpd を使用した NTP サーバを公開
している場合は、修正済みのバージョン以降の開発版の適用を検討してくださ
い。

  修正済みのバージョンは、以下のとおりです。

  ntpd 4.2.7p26(開発版)

  また、開発版の適用が難しい場合は、以下の回避策の適用を検討してくださ
い。

  - ntpd の設定により、monlist 機能を無効にする
    ntp.conf に以下の1行を追加
    disable monitor

その他の回避策については、以下の CERT/CC の情報を参考にしてください。

    CERT/CC Vulnerability Note VU#348126
    NTP can be abused to amplify denial-of-service attack traffic
    https://www.kb.cert.org/vuls/id/348126

  ディストリビュータが提供している ntpd をお使いの場合は、ディストリ
ビュータなどの情報を参照してください。

  また、NTP サービスを外部に提供する必要が無い場合は、外部からの NTP
サーバへの通信を制限することも検討してください。

IV. 参考情報

    NTP Project
    DRDoS / Amplification Attack using ntpdc monlist command 
    http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

    CERT/CC Vulnerability Note VU#348126
    NTP can be abused to amplify denial-of-service attack traffic
    https://www.kb.cert.org/vuls/id/348126

    Japan Vulnerability Notes JVNVU#96176042
    NTP が DDoS 攻撃の踏み台として使用される問題
    https://jvn.jp/cert/JVNVU96176042/index.html

    NetBSD
    NetBSD Security Advisory 2014-002
    http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-002.txt.asc

  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

一応怖いので対策をしておきたい。
対策としては、以下のようにすればよいです。

ntp.conf 内に「restrict」を追加してアクセス制限を行う「disable monitor」を追加して monlist 機能を無効にする

# vi /etc/ntp.conf
restrict default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict ntp1.XXXX.com kod nomodify notrap nopeer noquery
server ntp1.XXXX.com

# service ntpd reload　←設定を変更したら、ntpdを再読み込み。

NTPを使用されていない場合は、NTPの停止または削除をすることで対策になります。

[対象]
ntpd 4.2.7p26 より前のバージョン