Nessusスキャンが警告してくる脆弱性の中に,「Network Time Protocol (NTP) Mode 6 Scanner」があります。
これは,どんな脆弱性なのでしょうか。
概要
リモートNTPサーバーが,mode 6のクエリに応答しています。
説明
リモートNTPサーバーが,mode 6のクエリに応答しています。それらのクエリに応答するデバイスは,NTPアンプ攻撃に悪用されてしまう危険性があります。
リモートの攻撃者がこれを悪用し,特殊なmode 6クエリを投げるなら,認証がない状態でもDDoSリフレクション攻撃を仕掛けることができてしまいます。
NTPアンプリフィケーション攻撃とは?
NTPアンプ攻撃とも略されるかもしれません。
NTPアンプ攻撃とは,DDoS攻撃の一種で,パブリックからアクセス可能なNTPサーバーを悪用し,UDPトラフィックを埋め尽くします。
NTPは最も古くから存在するネットワークプロトコルで,インターネットにつながっている端末の時刻を同期するために使われます。
時刻同期に加え,古いバージョンのNTPは,監視サービスをサポートしています。それにより,管理者はNTPサーバーに問い合わせてトラフィックをカウントすることができます。
そのコマンドは,monlistと呼ばれており,直近でNTPサーバーにクエリを飛ばしてきた600ホストのリストを返します。
最も基本的なタイプのNTPアンプ攻撃は,get monlistというクエリを繰り返し送る方法です。攻撃者は,ターゲットとなるサーバーのIPアドレスに成りすまして繰り返しクエリを投げるので,NTPサーバーはそのIPアドレスに対して大量の応答を返します。
このレスポンスが,問い合わせのクエリに対して非常に大きいため,増幅されたトラフィックが帯域を埋め尽くすことにより,ターゲットとなるサーバーがダウンしたり,サービスを正常に提供できなくなったりします。
トラフィックが増幅されることの危険性
あるサーバーからの応答を使ってターゲットを攻撃する「リフレクション」攻撃ですが,これがアンプリファイ(増幅)されたときに攻撃力が非常に高まります。
よくあるDNSサーバーを使ったリフレクション攻撃は,問い合わせのサイズと応答のサイズ比は,1:70ほどになります。つまり,1Gbpsで攻撃を仕掛けると,70Gbpsの応答がターゲットに対して送り付けられるということです。
しかしNTPアンプ攻撃における問い合わせと応答のサイズ比は,1:200にもなることがあります。それで攻撃者は,脆弱なNTPサーバーを探して悪用しようとするのです。
NTPアンプ攻撃を防ぐには?
ntpqで使用されるmode 6と呼ばれるクエリを受け付けないように設定します。受け付けるとしても,信頼できるネットワークやホストからのみ受け付けるように制限しましょう。
以上,NTPアンプ攻撃の脆弱性に関する情報でした。
コメント
[…] NTPクライアント(モード3)コントロール(モード6)monlist(モード7)の3つに応答します。モード6及び7はNTPアンプのDDos攻撃で最も使用されます。 […]