Nessus: Network Time Protocol (NTP) Mode 6 Scannerの対処法

Nessusスキャンが警告してくる脆弱性の中に,「Network Time Protocol (NTP) Mode 6 Scanner」があります。

これは,どんな脆弱性なのでしょうか。

概要
リモートNTPサーバーが,mode 6のクエリに応答しています。

説明
リモートNTPサーバーが,mode 6のクエリに応答しています。それらのクエリに応答するデバイスは,NTPアンプ攻撃に悪用されてしまう危険性があります。

リモートの攻撃者がこれを悪用し,特殊なmode 6クエリを投げるなら,認証がない状態でもDDoSリフレクション攻撃を仕掛けることができてしまいます。

NTPアンプリフィケーション攻撃とは?

NTPアンプ攻撃とも略されるかもしれません。

NTPアンプ攻撃とは,DDoS攻撃の一種で,パブリックからアクセス可能なNTPサーバーを悪用し,UDPトラフィックを埋め尽くします。

NTPは最も古くから存在するネットワークプロトコルで,インターネットにつながっている端末の時刻を同期するために使われます。

時刻同期に加え,古いバージョンのNTPは,監視サービスをサポートしています。それにより,管理者はNTPサーバーに問い合わせてトラフィックをカウントすることができます。

そのコマンドは,monlistと呼ばれており,直近でNTPサーバーにクエリを飛ばしてきた600ホストのリストを返します。

最も基本的なタイプのNTPアンプ攻撃は,get monlistというクエリを繰り返し送る方法です。攻撃者は,ターゲットとなるサーバーのIPアドレスに成りすまして繰り返しクエリを投げるので,NTPサーバーはそのIPアドレスに対して大量の応答を返します。

このレスポンスが,問い合わせのクエリに対して非常に大きいため,増幅されたトラフィックが帯域を埋め尽くすことにより,ターゲットとなるサーバーがダウンしたり,サービスを正常に提供できなくなったりします。

トラフィックが増幅されることの危険性

あるサーバーからの応答を使ってターゲットを攻撃する「リフレクション」攻撃ですが,これがアンプリファイ(増幅)されたときに攻撃力が非常に高まります。

よくあるDNSサーバーを使ったリフレクション攻撃は,問い合わせのサイズと応答のサイズ比は,1:70ほどになります。つまり,1Gbpsで攻撃を仕掛けると,70Gbpsの応答がターゲットに対して送り付けられるということです。

しかしNTPアンプ攻撃における問い合わせと応答のサイズ比は,1:200にもなることがあります。それで攻撃者は,脆弱なNTPサーバーを探して悪用しようとするのです。

NTPアンプ攻撃を防ぐには?

ntpqで使用されるmode 6と呼ばれるクエリを受け付けないように設定します。受け付けるとしても,信頼できるネットワークやホストからのみ受け付けるように制限しましょう。

以上,NTPアンプ攻撃の脆弱性に関する情報でした。

コメント

  1. […] NTPクライアント(モード3)コントロール(モード6)monlist(モード7)の3つに応答します。モード6及び7はNTPアンプのDDos攻撃で最も使用されます。 […]