ntp reflection attack(2014/03/01 lt駆動開発01)
DESCRIPTION
NTP reflection attack 2014/03/01 LT駆動開発01 https://github.com/LTDD/Sessions/wiki/LT駆動開発01TRANSCRIPT
![Page 1: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/1.jpg)
NTP reflection
attack
2014/03/01 SatLT駆動開発01
![Page 2: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/2.jpg)
自己紹介広島在住、広島を中心に勉強会に出没オープンソースカンファレンス2013Hiroshima地元実行委員 @oschiroshima の中の人
広島サーバユーザ友の会(仮称) はじめた奴
hiroshima.rb 広報担当? ・・・最近何もしていないような(汗
日本Androidの会 中国支部 運営スタッフ? ・・・最近全然何もしていないような(汗
Ustreamで勉強会の配信とかやってます。Twitter @takatayoshitake
![Page 3: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/3.jpg)
注: お約束
今回は個人的な発表で仕事とか勤務先とかは
関係ありません。
あまりちゃんと確認出来てないの間違えてたら
ゴメンなさい。
![Page 4: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/4.jpg)
会場の方に質問
● 先月(2014/02)NTPの大規模な
DDoS攻撃がありました
● A 知ってる● B 知らない
– ア 100Gbps– イ 200Gbps– ウ 400Gbps
![Page 5: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/5.jpg)
ntpd の monlist 機能を使ったDDoS 攻撃に関する注意喚起
● NTP Project が提供する ntpd の一部のバージョンには、NTP サーバの状態
を確認する機能 (monlist) が実装されており、同機能は遠隔からサービス運
用妨害 (DDoS) 攻撃に使用される可能性があります。
● NTP は、通常 UDP を使用して通信するため、容易に送信元 IP アドレスを
詐称することができます。また、monlist 機能は、サーバへのリクエストに対
して大きなサイズのデータを送信元 IP アドレスへ返送するため、攻撃者は攻
撃対象の IP アドレスを送信元 IP アドレスに偽装した問い合わせパケットを
NTP サーバに送信することで、大きなサイズのデータを攻撃対象 (Web サイト
など) に送りつけることができます。
http://www.jpcert.or.jp/at/2014/at140001.html
![Page 6: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/6.jpg)
NTP DDoSの特徴
● UDPで比較的容易に詐称しやすい
ちょっとしたプログラムの知識があれば比較的容易に攻撃プログラムが作れる
● 小さなリクエストで大きなレスポンス
DDoSとして費用対効果が高い
● 利用できる踏み台が多い
NTPは古くから広く公開されている
![Page 7: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/7.jpg)
NTP攻撃の概要図
![Page 8: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/8.jpg)
NTP レスポンス例
![Page 9: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/9.jpg)
一部抜粋
11
2
3
Server192.168.1.118
Client192.168.1.120
1
2
3
小さな要求で大きな応答が返ってくる→攻撃に使いやすい
![Page 10: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/10.jpg)
デモ
![Page 11: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/11.jpg)
NTPセキュリティ対策
● ntpdへのアクセスを制限
– Firewall/iptables 等
● ntpd でアクセス制限
– restrict default ignore– restrict 192.168.xxx.xxx netmask 255.255.255.0 nomodify notrap– ※指定したIPからのみアクセス許可
● - ntpd の設定により、monlist 機能を無効にする
– ntp.conf に以下の1行を追加
– disable monitor
![Page 12: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/12.jpg)
NTPを喋るのはサーバだけではない
![Page 13: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/13.jpg)
NTP が DDoS 攻撃の踏み台として使用される問題
https://jvn.jp/vu/JVNVU96176042/
ベンダ ステータス ステータス最終更新日
アライドテレシス株式会社 該当製品あり 2014-02-04
古河電気工業株式会社 該当製品無し 2014-01-14
日本電気株式会社 該当製品あり(調査中) 2014-02-06
日立 該当製品あり(調査中) 2014-01-21
株式会社インターネットイニシアティブ 該当製品あり 2014-01-16
株式会社バッファロー 該当製品無し 2014-01-14
株式会社ビー・ユー・ジー 該当製品無し 2014-01-14
横河メータ&インスツルメンツ株式会社 該当製品無し 2014-01-14
横河電機株式会社 該当製品無し(調査中) 2014-01-14
![Page 14: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/14.jpg)
NTPセキュリティ対策はサーバだけではありません
● サーバだけでなく一般のブロードバンドルータ等、
組み込み機器にも影響があるので注意!
![Page 15: NTP reflection attack(2014/03/01 LT駆動開発01)](https://reader033.vdocuments.net/reader033/viewer/2022052507/5583f27fd8b42a2a4d8b5307/html5/thumbnails/15.jpg)
ご清聴
ありがとう
ございました