Ataki bazujące na protokole NTP

NTP to protokół działający na porcie 123, który odpowiada za synchronizację czasu pomiędzy komputerami np. w obrębie danej sieci komputerowej. W ostatnim czasie zaczęto odnotowywać zwiększoną liczbę ataków przeprowadzanych z wykorzystaniem tego protokołu, polegających na wykonaniu dowolnego zapytania z dowolnego adresu IP z sieci Internet do powszechnie widocznych serwerów NTP.

Podatność ta może być wykorzystana do przeprowadzenia ataku typu Distributed Reflected Denial of Service (DRDoS), poprzez wygenerowanie dużej ilości spreparowanych zapytań na adres IP serwera NTP ze zmodyfikowanym (podmienionym) adresem źródłowym ustawionym na adres IP ofiary. W wyniku powyższego wszystkie odpowiedzi na kierowane zapytania do serwera NTP są przesyłane na adres IP ofiary, co w rezultacie powoduje zalanie go pakietami.

Instrukcje dotyczące zabezpieczenia serwera przed przedmiotową podatnością znajdują się na stronie: http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
Występowanie podatności można zbadać na stronie: http://openntpproject.org/

Zespół CERT.GOV.PL zaleca administratorom zastosowanie niezbędnych zmian konfiguracyjnych w celu minimalizacji zagrożeń.

Ocena: 5/5 (6)
A
A+
A++
Drukuj
PDF