Kurzinfo
Ntp-Server, die diverse Befehle (monlist, peers) erlauben, die nicht für einen NTP Client gebraucht werden, können für DoS-Angriffe missbraucht werden.
Treffsicherheit
Im Prinzip hoch, jedoch wird ein Rate-Limit vom Test nicht erkannt.
Beschreibung
Die Schwachstelle beruht auf folgenden Faktoren:
ntp kommuniziert mittels UDP und die UDP source IP kann leicht verändert werden auf die IP des zu dossenden Zieles
die Antwort kann bis zu 200 mal größer sein als die Anfrage (=Amplifizierung)
Der Zugehörige Angriff ist unter Amplified UDP reflection attack ausführlich beschrieben.
Überprüfen ob der eigene ntp-Server für diese Attacke verwundbar ist, kann man mit folgendem Kommando:
ntpdc -n -c monlist IP-Adresse
ntpdc -n -c peers IP-Adresse
Erscheint als Antwort eine Adressliste, ist der ntp-Server für diesen Angriff verwundbar. Der Switch "monlist" dient eigentlich nur zu Monitoring/Statistik- Zwecken. Es werden dabei die Adressen der anfragenden Server zurückgegeben. Daher ist es unbedenklich, wenn die eigene /etc/ntp.conf auf folgendes umgeschrieben wird:
# by default act only as a basic NTP client restrict -4 default nomodify nopeer noquery notrap restrict -6 default nomodify nopeer noquery notrap # allow NTP messages from the loopback address, useful for debugging restrict 127.0.0.1 restrict ::1 # server(s) we time sync to server ts1.aco.net server ts2.aco.net
Für Teilnehmer, die keinen eigenen ntp (Timeserver) betreiben, bietet das ACOnet den ts1.aco.net und ts2.aco.net an.
Links
US-CERT Alert (TA14-013A) NTP Amplification Attacks Using CVE-2013-5211
https://www.us-cert.gov/ncas/alerts/TA14-013A
Kommt Zeit, kommt – DDoS-Angriff (Artikel auf Heise-Security)
http://www.heise.de/-2087846.html
Secure NTP Template. Konfigurations-Empfehlungen von Team Cymru.
https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
ACOnet-Timeserver
http://www.aco.net/timeserver.html?&L=0
Erfahrungen
Derzeit keine vermerkt.