CERT-Bund-Reports:
NTP-Server mit aktiver 'monlist'-Funktion
Das Network Time Protocol (NTP) ist ein Netzwerkprotokoll zur Synchronisation der Uhrzeit zwischen IT-Systemen. NTP unterstützt einen Monitoring-Dienst, der mittels des 'monlist'-Kommandos eine Abfrage von Statistiken über Client-Verbindungen ermöglicht.
Problem
Die Monitoring-Funktion von NTP kann für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden.
Prüfung
Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.
Um zu überprüfen, ob ein NTP-Server 'monlist'-Anfragen aus dem Internet beantwortet, kann das Programm 'ntpdc' verwendet werden:
# ntpdc -n -c monlist 192.168.45.67
Ein NTP-Server mit aktiver 'monlist'-Funktion liefert eine Liste von Clients, die zuletzt Anfragen an den Server gestellt haben:
remote address port local address count m ver rstr avgint lstint
===============================================================================
123.56.67.89 123 192.168.45.67 3559 4 4 0 446 119
34.56.78.90 123 192.168.45.67 16992 4 4 0 137 207
98.76.54.32 123 192.168.45.67 17005 4 4 0 137 232
111.22.33.44 58708 192.168.45.67 3 3 4 0 423826 72192
222.33.44.55 35560 192.168.45.67 8 3 4 0 180029 236607
33.44.55.66 59053 192.168.45.67 1 3 3 0 615565 615565
44.55.66.77 59040 192.168.45.67 2 3 4 0 637297 664374
Falls die Liste der Clients aktuell leer ist, erfolgt folgende Antwort:
***Server reports data not found
Wenn unter der IP-Adresse kein NTP-Server mit aktiver 'monlist'-Funktion erreichbar ist, läuft die Anfrage in einen Timeout:
192.168.45.67: timed out, nothing received
***Request timed out
Lösung
Aktualisieren Sie auf ntpd Version 4.2.7p26 or später. Falls ein Update nicht möglich ist, deaktivieren Sie in der Konfiguration des NTP-Servers die Status-Abfragen oder beschränken Sie diese auf vertrauenswürdige Clients.
Weitere Informationen
- Wikipedia: Network Time Protocol
- US-CERT: NTP Amplification Attacks Using CVE-2013-5211 (TA14-013A)
- CERT.org: NTP can be abused to amplify denial-of-service attack traffic (VU#348126)
- NTP.org: DRDoS / Amplification Attack using ntpdc monlist command
- Kurz-URL:
- https://www.bsi.bund.de/dok/8365014