Versionen im Vergleich

Alte Version 3

changes.mady.by.user Stasic Arsen

Gespeichert am

verglichen mit

Neue Version 4

changes.mady.by.user Talos-Zens Alexander

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Inhalt
maxLevel3
minLevel2
typeflat

 

Tag Vuln.ntpd_monlist

Kurzinfo

Treffsicherheit

Beschreibung

Kurzinfo

Ntp-Server, die den monlist-Befehl erlauben, können für DoS-Angriffe missbraucht werden.

Treffsicherheit

Im Prinzip hoch, jedoch wird ein Rate-Limit vom Test nicht erkannt.

Beschreibung

Die Schwachstelle beruht auf folgenden Faktoren:

  • ntp kommuniziert mittels UDP und die UDP source IP kann leicht verändert werden auf die IP des zu dossenden Zieles

  • die Antwort kann bis zu 200 mal größer sein als die Anfrage (=Amplifizierung)

Der Zugehörige Angriff ist unter Amplified UDP reflection attack ausführlich beschrieben.

Überprüfen ob der eigene ntp-Server für diese Attacke verwundbar ist, kann man mit folgendem Kommando:

ntpdc -n -c monlist IP-Adresse

Erscheint als Antwort eine Adressliste, ist der ntp-Server für diesen Angriff verwundbar. Der Switch "monlist" dient eigentlich nur zu Monitoring/Statistik- Zwecken. Es werden dabei die Adressen der anfragenden Server zurückgegeben. Daher ist es unbedenklich, wenn dieser Swicht/Kommando in der /etc/ntp.conf deaktiviert wird mit:

disable monitor

 Für Teilnehmer, die keinen eigenen ntp (Timeserver) betreiben, bietet das ACOnet den ts1.aco.net und ts2.aco.net an. [4]

US-CERT Alert (TA14-013A) NTP Amplification Attacks Using CVE-2013-5211
https://www.us-cert.gov/ncas/alerts/TA14-013A

Kommt Zeit, kommt – DDoS-Angriff (Artikel auf Heise-Security)AC
http://www.heise.de/-2087846.html

Secure NTP Template. Konfigurations-Empfehlungen von Team Cymru.
https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

ACOnet-Timeserver
http://www.aco.net/timeserver.html?&L=0

Erfahrungen

Derzeit keine vermerkt.