CloudFlare è stato attaccato con un pesante DDoS basato su un baco dell’implementazione di NTP.
Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd per amplificare un attacco di DDoS. Al momento della pubblicazione dell’articolo già molte distribuzioni aggiornate di Linux erano indenni da questo problema, ma rimanevano comunque una gran quantità di server vulnerabili.
Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.
Le versioni di ntpd dalla 4.2.7 compresa in su non hanno più la funzione monlist; nelle vecchie versioni si può utilizzare l’opzione noquery in ntp.conf.
Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.
Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.
4 risposte a “Controllate il vostro NTP”
Il PiCERT sta facendo da inizio anno un importante attività di scan allertando tutti gli admin Italiani che hanno sulle loro reti NTPd vulnerabili.
per fare lo scan in autonomia consiglio:
http://nmap.org/nsedoc/scripts/ntp-monlist.html
nmap -sU -pU:123 -Pn -n –script=ntp-monlist TARGET
Domanda da un non-tecnico che con tutte queste sigle s’è perso… c’è un qualche tipo di precauzione che può/deve prendere un utente finale?
Leggi: uno come me che non ha server da gestire?
No, non credo.
Un utente finale di solito ha una connessione a Internet con un NAT (un sistema di traduzione degli indirizzi) che di fatto blocca tutti gli accessi dall’esterno.
Inoltre un normale PC non ha un server NTP.
Questa è una gatta che si deve pelare chi gestisce dei server.
[…] DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei […]