Controllate il vostro NTP

Fleet StreetCloudFlare è stato attaccato con un pesante DDoS basato su un baco dell’implementazione di NTP.

Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd per amplificare un attacco di DDoS. Al momento della pubblicazione dell’articolo già molte distribuzioni aggiornate di Linux erano indenni da questo problema, ma rimanevano comunque una gran quantità di server vulnerabili.

Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.

Le versioni di ntpd dalla 4.2.7 compresa in su non hanno più la funzione monlist; nelle vecchie versioni si può utilizzare l’opzione noquery in ntp.conf.

Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.

Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “Controllate il vostro NTP”

  1. Domanda da un non-tecnico che con tutte queste sigle s’è perso… c’è un qualche tipo di precauzione che può/deve prendere un utente finale?
    Leggi: uno come me che non ha server da gestire?

    1. No, non credo.

      Un utente finale di solito ha una connessione a Internet con un NAT (un sistema di traduzione degli indirizzi) che di fatto blocca tutti gli accessi dall’esterno.
      Inoltre un normale PC non ha un server NTP.

      Questa è una gatta che si deve pelare chi gestisce dei server.

Spazio per un commento