網頁

2015年5月12日

NTP 漏洞 - 被利用來做 DDOS 的來源



某天對外的網路流量突然的暴增,而且是從凌晨2點開始,高達 400Mbps 的流量都是對外,流入的流量則為正常。從防火牆去看,產出這些大流量的居然是不直接對外提供服務的: NFS 的 storage、VMWare ESXi4 跟 FreeNAS,而且都是走 udp port:123 到外部的 port:80 與其他不規則的 port。
懷疑:FreeNAS 或專用的 Storage 被入侵了嗎? Port:123 網路校時?
跡證:從系統記錄、從NFS 的 ops 傳輸量、從上層的 AP 都不像有被入侵的跡象,單純只有流量衝高。
處理:先緊急從防火牆封鎖不必要的連線,斷開目前的問題。

-----------------------------------------------------------------------------------

從網路上找到這項攻擊的方式
節錄:這次的 Reflection DDoS 事件卻完全不同,駭客已經不再利用殭屍網路等方式進行攻擊,而是利用偽裝欺瞞(spoofing)的方式,讓全世界的校時伺服器(Network Time Protocol Server,簡稱 NTP)同時對伺服器傳輸大量資料,讓伺服器收到大量非自行發出的校時需求封包而掛點。

節錄:NTP中NTPD中的monlist(ntp_request.c)功能存在安全漏洞,允許遠程攻擊者利用漏洞偽造REQ_MON_GETLIST或REQ_MON_GETLIST_1請求來放大流量,對目標系統進行拒絕服務攻擊。

-----------------------------------------------------------------------------------

FreeNAS 的處理方式
http://joepaetzel.com/2014/03/03/freenas-naughty-ntp/

#連線到NAS網頁界面,透過網頁的[指令列]下指令
vi /etc/ntp.conf

 #增加下面指令
disable monitor

 # wq 儲存後重新啟用ntp
service ntpd stop
service ntpd start

 #修正此一問題
ntpdc -n -c monlist someone_IP
例如:
ntpdc -n -c monlist 127.0.0.1

-----------------------------------------------------------------------------------

Cisco 網路設備也需要注意 NTP 的相關設定http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html 

 -----------------------------------------------------------------------------------

ESXi 升級到 5.5 或修改 ntp.conf 設定
http://ar0.me/blog/ 
修改 ESXi NTP 設定
1. 以 SSH 方式連入 ESXi
2. vi /etc/ntp.conf  然後修改
restrict default kod nomodify notrap noquery nopeer
restrict 127.0.0.1
server pool.ntp.org
driftfile /etc/ntp.drift
3. 重新啟動 NTPD
/etc/init.d/ntpd restart
4. 檢查 monlist 是否還會被外部所利用做DDOS,正常應該顯示逾時
Ntpdc-C monlist 8.8.8.8

Reference:
-----------------------------------------------------------------------------------
參考資料
NTP 漏洞 - 被利用來做 DDOS 的來源 @ 黃昏的甘蔗  隨意窩 Xuite日誌
FreeNas Naughty NTP  The Joe Paetzel Method
張貼者:
標籤: , , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)