Das Network Time Protocol (NTP) ist ein Netzwerkprotokoll zur Synchronisation der Uhrzeit zwischen IT-Systemen. NTP unterstützt einen Monitoring-Dienst, der mittels des 'monlist'-Kommandos eine Abfrage von Statistiken über Client-Verbindungen ermöglicht.

Problem

Die Monitoring-Funktion von NTP kann für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob ein NTP-Server 'monlist'-Anfragen aus dem Internet beantwortet, kann das Programm 'ntpdc' verwendet werden:

# ntpdc -n -c monlist 192.168.45.67

Ein NTP-Server mit aktiver 'monlist'-Funktion liefert eine Liste von Clients, die zuletzt Anfragen an den Server gestellt haben:

remote address          port local address      count m ver rstr avgint  lstint

===============================================================================

123.56.67.89             123 192.168.45.67       3559 4 4      0    446     119

34.56.78.90              123 192.168.45.67      16992 4 4      0    137     207

98.76.54.32              123 192.168.45.67      17005 4 4      0    137     232

111.22.33.44           58708 192.168.45.67          3 3 4      0 423826   72192

222.33.44.55           35560 192.168.45.67          8 3 4      0 180029  236607

33.44.55.66            59053 192.168.45.67          1 3 3      0 615565  615565

44.55.66.77            59040 192.168.45.67          2 3 4      0 637297  664374

Falls die Liste der Clients aktuell leer ist, erfolgt folgende Antwort:

***Server reports data not found

Wenn unter der IP-Adresse kein NTP-Server mit aktiver 'monlist'-Funktion erreichbar ist, läuft die Anfrage in einen Timeout:

192.168.45.67: timed out, nothing received

***Request timed out

Lösung

Aktualisieren Sie auf ntpd Version 4.2.7p26 or später. Falls ein Update nicht möglich ist, deaktivieren Sie in der Konfiguration des NTP-Servers die Status-Abfragen oder beschränken Sie diese auf vertrauenswürdige Clients.

Weitere Informationen

• Wikipedia: Network Time Protocol
• US-CERT: NTP Amplification Attacks Using CVE-2013-5211 (TA14-013A)
• CERT.org: NTP can be abused to amplify denial-of-service attack traffic (VU#348126)
• NTP.org: DRDoS / Amplification Attack using ntpdc monlist command