概要
ネットワークタイムプロトコル (NTP) は、デバイスのクロックをいくつかの時間基準に同期させるために使用されるインターネット標準プロトコルです。 NTPを使用して、複数の分散サーバーとクライアント間でクロックを同期できます。 このようにして、インターネット上のすべてのデバイスの時計を同じにすることができます。
説明
攻撃メカニズム
NTPはUDPプロトコルに基づいており、クライアント-サーバーモデルで構成されています。 UDPはコネクションレスプロトコルであり、TCPで使用される3ウェイハンドシェイクを使用しません。 攻撃者はNTPのこの脆弱性を悪用してDDoS攻撃を開始できます。 次の手順は、攻撃プロセスを示しています。
- ネットワーク上の攻撃オブジェクトやNTPサーバーリソースなど、攻撃の対象を特定します。
- 攻撃対象のIPアドレスを偽造し、偽装IPアドレスを使用してNTPサーバにクロック同期要求を送信します。 攻撃者は、攻撃の重大度を高めるmonlistコマンドを含むリクエストを送信します。
NTPには、NTPサーバーを監視するために使用されるmonlist機能が含まれています。 monlist機能には脆弱性があります。 NTPサーバーがmonlistコマンドに応答した後、サーバーはNTPサーバーとの時刻同期を実行した最後の600クライアントのIPアドレスを返します。 システムは、応答パッケージを6つのIPアドレスごとに分割し、1つのmonlistコマンドに対して最大100個のパッケージを返します。 この場合、NTPサーバは、増幅された量のUDPトラフィックに圧倒される。
実験室でのテストでは、要求パケットの長さが234バイトの場合、各応答パケットの長さは482バイトであることが示されます。 トラフィックは206倍に増幅されます。 この結果は、482 × 100/234 = 206の式を用いて計算される。 大量のトラフィックがネットワークを圧倒し、サービスが利用できなくなります。
NTPベースのDDoS攻撃を軽減するには、次のいずれかの方法を使用します。
- 十分な帯域幅リソースを購入します。
- DDoS軽減サービスを使用して、異常なインバウンドトラフィックをスクラブし、正常なトラフィックをサーバーにリダイレクトします。
- UDPポート123を介したNTPサーバーと固定IPアドレス間のトラフィックのみを許可するようにファイアウォールを設定します。
- NTPサーバーのmonlist機能を無効にします。
- NTPサーバーのバージョンを4.2.7 p26にアップグレードします。
適用範囲
- Anti-DDoS ProとAnti-DDoS Premium