201402121202NTP 漏洞 - 被利用來做 DDOS 的來源

 某天對外的網路流量突然的暴增,而且是從凌晨2點開始,高達 400Mbps 的流量都是對外,流入的流量則為正常。從防火牆去看,產出這些大流量的居然是不直接對外提供服務的: NFS 的 storage、VMWare ESXi4 跟 FreeNAS,而且都是走 udp port:123 到外部的 port:80 與其他不規則的 port。

懷疑:FreeNAS 或專用的 Storage 被入侵了嗎? Port:123 網路校時?

跡證:從系統記錄、從NFS 的 ops 傳輸量、從上層的 AP 都不像有被入侵的跡象,單純只有流量衝高。

處理:先緊急從防火牆封鎖不必要的連線,斷開目前的問題。

---------------------------------------------------------

才從網路上找到這項攻擊的方式

資料來源:http://technews.tw/2014/02/11/united-states-warning-through-scheduled-server-ntp-new-ddos-hack-attack-tactics/

節錄:這次的 Reflection DDoS 事件卻完全不同,駭客已經不再利用殭屍網路等方式進行攻擊,而是利用偽裝欺瞞(spoofing)的方式,讓全世界的校時伺服器(Network Time Protocol Server,簡稱 NTP)同時對伺服器傳輸大量資料,讓伺服器收到大量非自行發出的校時需求封包而掛點。

 

資料來源:http://www.cnvd.org.cn/flaw/show/CNVD-2014-00082 、http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-201401-003 

節錄:NTP中NTPD中的monlist(ntp_request.c)功能存在安全漏洞,允許遠程攻擊者利用漏洞偽造REQ_MON_GETLIST或REQ_MON_GETLIST_1請求來放大流量,對目標系統進行拒絕服務攻擊。

 

FreeNAS 的處理方式

 ntpdc -c monlist someone_IP
https://bugs.freenas.org/issues/4136
 

 

Cisco 網路設備也需要注意 NTP 的相關設定
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html 

 

ESXi 升級到 5.5 或修改 ntp.conf 設定
http://ar0.me/blog/ 

修改 ESXi NTP 設定

1. 以 SSH 方式連入 ESXi
2. vi /etc/ntp.conf  然後修改
restrict default kod nomodify notrap noquery nopeer
restrict 127.0.0.1
server pool.ntp.org
driftfile /etc/ntp.drift
3. 重新啟動 NTPD
/etc/init.d/ntpd restart
4. 檢查 monlist 是否還會被外部所利用做DDOS,正常應該顯示逾時
Ntpdc-C monlist 8.8.8.8

 

Reference:

~End

回應
Google Search
Google
累積 | 今日
loading......
平均分數:0 顆星
投票人數:0
我要評分:
Google