【さくらインターネット】 NTPの脆弱性について

通信プロトコルNTP

概要

 状態:-  閲覧数:1,898  投稿日:2014-02-14  更新日:2014-02-14
・ さくらインターネット株式会社より、「ntpdへの適切なアクセス制限設定確認」を促すメールが届く


NTPとは?


【 Network Time Protocol 】 ネットワークタイムプロトコルの略称
・TCP/IPネットワークを通じて正しい現在時刻を取得するためのプロトコルの一つ
・コンピュータの内部時計の時刻を正しく調整するために、ネットワーク上で時刻情報を配信しているサーバに問い合わせる手順を定義したもの


ntpdとは?


NTP サーバープログラムの実体
・デーモン


デーモンとは?


デーモン (Daemon)
・UNIXなどのマルチタスクオペレーティングシステム (OS) においてバックグラウンドプロセスとして動作するプログラムを意味する
・ユーザーが直接対話的に制御するプログラムではない


ntpd のバージョン確認


# ntpq -c rv

・version="ntpd 4.2.4p8
対象

 NTP Project の情報によると、以下のバージョンが影響を受けます。

 ntpd 4.2.7p26 より前のバージョン
 *) 安定版の 4.2.6.x は全て影響を受けます


回避する方法は3つ


A.バージョンアップ … 但しntpd 4.2.7p26以降はまだ開発バージョン
B.ntpdの設定変更
C.利用停止

B.ntpdの設定変更例

 閲覧数:482 投稿日:2014-02-14 更新日:2014-02-14 

対策方法


ntpdの設定変更
1.ntp.conf 内に「restrict」を追加してアクセス制限を行う
2.「disable monitor」を追加して monlist 機能を無効にする


1.「restrict」追加


ntp.conf 内に「restrict」を追加してアクセス制限を行う
・メールに記載されていた内容
[restrict の設定例]
   restrict default ignore
   restrict -6 default ignore
   restrict 127.0.0.1
   restrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery
   server ntp1.sakura.ad.jp

・デフォルトで既に実施済

・コマンド確認
# cat /etc/ntp.conf

restrict default ignore
restrict -6 default ignore
restrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery

# Permit all access over the loopback interface.  This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict -6 ::1

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server ntp1.sakura.ad.jp


2.「disable monitor」追加


「disable monitor」を追加して monlist 機能を無効にする
vi /etc/ntp.conf

・最後に1行追記
disable monitor


3.設定反映


ntpd 再起動
# /etc/init.d/ntpd restart

・設定が反映され、monlist 機能が無効となる

monlist

 閲覧数:999 投稿日:2014-02-14 更新日:2014-02-14 

monlistとは?


・「NTPサーバーへ状態を確認する」コマンド


monlist仕様


・monlistで問い合わせを送ると、そのNTPサーバーが過去に通信したマシン、最大600台分のIPアドレスを返答する
・わずか234バイトの問い合わせパケットに対し、返ってくる応答パケットのサイズは数十倍、数百倍という大きさ


monlist脆弱性とは?


・オープンなNTPサーバーに送信元を偽装したmonlistリクエストを送り付けると、標的には膨大なトラフィックが押し寄せる


狙われる理由


1.増幅率が高い
・NTPのmonlistを悪用した増幅攻撃では、増幅率が「19倍から206倍」と高い
・攻撃者がサイズの小さいパケットで問い合わせるだけで、被害者に対して大きなサイズの応答パケットを簡単に送りつけられる点

2.オープン性
・SNMPサーバと比較すると、NTPサーバーは、外部にオープンであることが多い




類似度ページランキング
順位 ページタイトル抜粋
1 さくらのVPSのsshログインが遅い 38
2 2回目-1.さくらVPSを起動 / OSインストール  35
3 3回目-1.さくらVPSを起動 / OSインストール  35
4 4回目-1.さくらVPSを起動 / OSインストール  35
5 初めてのさくらVPS運用 33
6 ドメイン運用に関して、さくらVPSで取り得る選択肢は4種類しかない 32
7 他で取得したドメインを、さくらネームサーバ経由して利用 31
8 VALUE-DOMAINネームサーバ × さくらVPS 31
9 ルートドメインでのみサイトが表示されない理由は、お名前.com の DNS設定 を誤っていたから 31
10 6回目-1.「2週間無料のお試し期間」を申し込み / さくらVPSを起動 / OSインストール 28
11 5回目-1.「2週間無料のお試し期間」を申し込み / さくらVPSを起動 / OSインストール 28
12 8回目-1.「2週間無料のお試し期間」を申し込み / さくらVPSを起動 / OSインストール 28
13 7回目-1.「2週間無料のお試し期間」を申し込み / さくらVPSを起動 / OSインストール 28
14 9回目-1.「2週間無料のお試し期間」を申し込み / さくらVPSを起動 / OSインストール 28
15 PHP5をインストールしているCentOSで、PHP7も使用したい 28
16 PHPをインストールすると、どうなるの? 27
17 Bottle インストール 27
18 Node.jsインストール 27
19 Popplerインストール 27
20 Bower再インストール 27
2022/10/05 22:05 更新
週間人気ページランキング / 9-28 → 10-4
順位 ページタイトル抜粋 アクセス数
0 さくらVPS0 18
0 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 18
1 PHPのmb_send_mail関数でメール送信できない | メール処理システム 17
2 phpの設定ファイルをphp.ini から分離させても良いの? 12
3 Nginx設定。エラーログレベル | Nginx(Webサーバ) 11
4 「RLogin」で文字化けするようになった場合は、オプション設定 - フォント - 文字セット -「UTF-8」を選択します。  | RLogin(ターミナルエミュレータ) 9
4 ImageMagick と imagick の違い | ImageMagick(ソフトウェアスイート) 9
5 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 8
5 ABRT により 問題が検出されました | CentOS 7 (CentOS) 8
5 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 8
6 echo と cat の違い 7
6 Bearerとは? / Bearer Token とは? / 基本的な使い方 7
6 Postfix | メール処理システム 7
6 ImageMagick 6.7.2.7-2.el6 を yum アンインストール / ImageMagick 6.8.8-9 を make アンインストール | ImageMagick(ソフトウェアスイート) 7
7 PHP実行ユーザ設定 / CentOS7 / Nginx | PHP(プログラミング言語) 6
7 Sandboxモードを使うことができるsaharaプラグインを使ってみる 6
7 バーチャルホスト設定には細心の注意を! | バーチャルホスト(Apache) 6
7 grep -rl 置換前文字列 . | xargs sed -i 's/置換前文字列/置換後文字列/g' 6
7 touch コマンド / viコマンド。新規ファイル作成時の違い | Linuxコマンド 6
7 設定 2019/1/22 / 一般ユーザがmailコマンドでメール送信 / 管理者がmailコマンドでメール送信 6
2022/10/5 1:01 更新