Author Topic: NTP server monlist do DDoS  (Read 8406 times)

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2145
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
NTP server monlist do DDoS
« on: กุมภาพันธ์ 12, 2014, 07:00:44 PM »
เป็นการอาศัยช่องโหว่ของ NTP server ที่มี version ต่ำกว่า version 4.2.7 ซึ่งสามารถใช้ คำสั่ง ntpdc -n -c monlist 192.0.2.1
เพื่อถาม ntp server ว่ามี client ip ใดบ้างที่มีเกาะมันอยู่ แล้วตอบออกไป ทำให้เกิดการส่ง packet ออกไป ถ้ามีการส่ง command เข้ามาเยอะๆ ก็ทำให้เกิดการโจมตี คล้ายๆ DDoS ได้

วิธีแก้ไขก็คือ อัฟเกรด ntp server ให้เป็น version 4.2.7p26 ได้ครับ ซึ่งทางทีมพัฒนาได้ ลบ function "monlist" ออกไป

Further reading:

https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks
https://isc.sans.org/forums/diary/NTP+reflection+attack/17300
http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&smlogin=true

You can find more vulnerable servers on a network through this site: http://openntpproject.org/