201402121202NTP 漏洞 - 被利用來做 DDOS 的來源
某天對外的網路流量突然的暴增,而且是從凌晨2點開始,高達 400Mbps 的流量都是對外,流入的流量則為正常。從防火牆去看,產出這些大流量的居然是不直接對外提供服務的: NFS 的 storage、VMWare ESXi4 跟 FreeNAS,而且都是走 udp port:123 到外部的 port:80 與其他不規則的 port。
懷疑:FreeNAS 或專用的 Storage 被入侵了嗎? Port:123 網路校時?
跡證:從系統記錄、從NFS 的 ops 傳輸量、從上層的 AP 都不像有被入侵的跡象,單純只有流量衝高。
處理:先緊急從防火牆封鎖不必要的連線,斷開目前的問題。
---------------------------------------------------------
才從網路上找到這項攻擊的方式
節錄:這次的 Reflection DDoS 事件卻完全不同,駭客已經不再利用殭屍網路等方式進行攻擊,而是利用偽裝欺瞞(spoofing)的方式,讓全世界的校時伺服器(Network Time Protocol Server,簡稱 NTP)同時對伺服器傳輸大量資料,讓伺服器收到大量非自行發出的校時需求封包而掛點。
資料來源:http://www.cnvd.org.cn/flaw/show/CNVD-2014-00082 、http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-201401-003
節錄:NTP中NTPD中的monlist(ntp_request.c)功能存在安全漏洞,允許遠程攻擊者利用漏洞偽造REQ_MON_GETLIST或REQ_MON_GETLIST_1請求來放大流量,對目標系統進行拒絕服務攻擊。
FreeNAS 的處理方式
ntpdc -c monlist someone_IP
https://bugs.freenas.org/issues/4136
Cisco 網路設備也需要注意 NTP 的相關設定
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
ESXi 升級到 5.5 或修改 ntp.conf 設定
http://ar0.me/blog/
修改 ESXi NTP 設定
1. 以 SSH 方式連入 ESXi
2. vi /etc/ntp.conf 然後修改
restrict default kod nomodify notrap noquery nopeer
restrict 127.0.0.1
server pool.ntp.org
driftfile /etc/ntp.drift
3. 重新啟動 NTPD
/etc/init.d/ntpd restart
4. 檢查 monlist 是否還會被外部所利用做DDOS,正常應該顯示逾時
Ntpdc-C monlist 8.8.8.8
Reference:
- Hackers Spend Christmas Break Launching Large Scale NTP-Reflection Attacks
- DoS attacks that took down big game sites abused Web’s time-sync protocol
- Technical Details Behind a 400Gbps NTP Amplification DDoS Attack
- NTP reflection attack
- NTP DoS reflection attacks
- Using Tech Support Mode in ESXi 4.1 and ESXi 5.x
- Editing configuration files in VMware ESXi and ESX
- Enabling remote query of NTP service on ESX/ESXi 4.0
~End
