2014/02/17

ntpの脆弱性を利用したDDoS攻撃が流行っているみたいなのでntp.confについて調べた

DDoSしてますか?(ダメダメ) 最近ntpを使ったDDoS攻撃が流行っているようですが面白いんでしょうかねぇ。
そこまで人に迷惑をかけてまで生きるこたぁないと思いますが、ちゃんと守りを固めていれば問題ないのでこの件については大丈夫です。




とりあえず防御法

ntpの脆弱性を利用したDDoS攻撃については、色んなところで散々既出なので、一言で済ませますが
disable monitor

これをntp.confの最後に追記します。

以上。

こんな事は「ntp ddos」でググればすぐに対策が出てくるのでそんなに心配していない。
簡単な対応だからSSHするのが面倒でも、すぐに確認した方がいいと思いました。


調べてみると面白いntp.confの話

素の状態だと、restrictの設定は
restrict default kod nomodify notrap nopeer noquery      # 1
restrict -6 default kod nomodify notrap nopeer noquery   # 2
restrict 127.0.0.1                                       # 3
restrict -6 ::1                                          # 4

という具合にだいたいはなっていると思われる。
とりあえずこの状態であれば、1と2の部分でいかなるIPアドレスからの接続も拒否するようになっている。
「いかなる」なので、自分さえも拒否する、何のために動いているのか分からない状態になっているので、3と4で自分自身を指すIPv4とIPv6を通すようにしている。

WAN側からntp通信を受け付けている場合(データセンターのマシンと社内のntpサーバーを通信させたり?)の場合は、IPアドレスを決め打ちでrestrictを追加しておくような対応をするのが正解ということ。
間違っても面倒だから1と2をコメントアウトするような豪快さな対応はしていけないようだ(設定を読むのが面倒な場合やりそうではあった)。

なお、restrictは上から順に照合していって全ての照合が終わった段階で一番最後に当てはまった照合結果で判断されるので、どうしてもこのサーバーとntp通信させなければいけない、のっぴきならない理由がある場合のみ、2と3の間に通信させたいIPアドレスを書く。

ntpサーバーは内部の時計を合わせるために外部のntpサーバーへ時間を問い合わせしに行く手段というのが一番多い使い方なので、自分でntpサーバーなど管理せず、nictの公開NTPサービスなどを使うのがリスクを減らせるのかも知れないと今回の脆弱性の発見で思いました消極的だけど。
自前のntpサーバーを立てて、LAN内の時刻合わせに使いたい場合は外部からntpサーバーの123番ポートには繋げないようにするとか、ntp.confをいじる以外にも対応の方法はあります。

ntp自体、クライアントであり、サーバーである仕様なので、分からなければ触らぬ神に祟りなしという感じです。
デフォルトでは何も受け付けないはずですしね。


自分の理解が正しいか、色んな情報から精査している過程でntpについてガッツリ書いてある興味深いページを見つけたのでリンク張っておきます。ntpってこんなに書くことあんだね~ → NTP設定 - とあるSIerの憂鬱

しかしntpみたいな枯れてると思ってた技術から脆弱性を掘り起こす根性はすごいなと思いました。


0 件のコメント:

コメントを投稿