반응형

NTP 분산 서비스 거부 취약점  : NTP 서버의 특정 명령어(monlist)를 이용하여 대규모 증폭, 반사 형태의 디도스 공격을 유발시킬 수 있는 취약점

 

* NTP(Network Time Protocol) : 네트워크를 통해 컴퓨터 시스템 간 시간 동기화를 위해 사용하는 인터넷 프로토콜(udp/123)

 

- NTP monlist : NTP 서비스 데몬(ntpd)은 질의를 통해 해당 서비스 데몬에 접속한 호스트를 모니터링할 수 있는 기능을 지원한다. "monlist"라는 이름의 명령어로 NTP 데몬에 질의를 요청하면 최근 접속한 최대 600개의 접속 호스트 리스트를 응답받을 수 있다.

-> ntpdc -n -c monlist "NTP 서버"

 

- ntpdate : 원격지의 NTP 서버를 이용하여 날짜 및 시간 정보를 확인하거나 현재 서버에 설정할 수 있는 명령어

1) ntpdate -q "NTP 서버" : NTP 서버의 날짜/시간 정보 확인(현재 서버에 날짜/시간 설정은 하지 않음)

2) ntpdate "NTP 서버": NTP 서버의 날짜/시간 정보를 현재 서버에 설정

 

대응방안

1) 취약한 NTP 데몬(ntpd) 서버 버전을 업그레이드 한다. (ntpd --version)

2) 서비스 운영상 최신 버전으로 업그레이드가 어려운 경우 설정 변경을 통하여 monlist 기능을 해제한다.

-> ntp.conf 파일에 "disable monitor"를 추가하여 monlist 기능 해제 후 ntpd 데몬 재시작

3) 취약점에 영향을 받는 서버인지 또는 적절하게 조치가 되었는지에 대한 확인은 monlist 쿼리 요청을 통해 확인

-> ntpdc -n -c monlist "NTP 서버"

4) 방화벽 설정

-> iptables -A OUTPUT -p udp --sport 123 -m length --length 100 -j DROP

 

감사합니다.

 

 

 

반응형