NTP amplification attack

Уязвимы

  • Все действующие на сегодня версии FreeNAS
  • MacOS версии по 10.9.4 включительно
  • FreeBSD 7.x, 8.x 9.0 — 9.2 (версия 9.3 не проверялась)
  • Различные Linux с версией NTP ниже 4.2.7.p.26

Проверка

  • Проверяем версию (должна быть не ниже 4.2.7p26)
    ntpq -c rv

  • Если версия выше, то все хорошо. Если нет, то проверяем, подключены ли следующие типы запросов *REQ_MON_GETLIST* и *REQ_MON_GETLIST_1* (чтобы было все в порядке, они должны быть отключены и в ответ ничего быть не должно):

    ntpdc -n -c monlist

  • Смотрим, к какому серверу оно цепляется:

    ntpdc -c sysinfo

Чиним

  • Обновляем NTP до версии 4.2.7.p.26 или выше;
  • Если обноаление невозможно, выставляем в /etc/ntp.conf следующие параметры, заодно открываясь только в локалку (строки 4 и 5 подогнать под свою сетку):
    restrict default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery
    restrict localhost
    restrict 192.168.0.0 netmask 255.255.0.0
    restrict 192.168.1.27

  • и дополнительно файерволом закрываем запросы извне по 123 порту. (иначе - см. udp_punch)

security_lab/ntp_amplification.txt · Last modified: 2014/08/27 11:36 by rybario
About this template
CC Attribution-Share Alike 4.0 International
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5