Волна DDoS-атак, использующих NTP-серверы для усиления трафика

Александр Панасенко 15 Января 2014 - 15:11

...

Компьютерная команда экстренной готовности США (US-CERT) опубликовала предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. В процессе атаки, запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом.

Ранее подобные атаки как правило проводились c задействованием DNS-серверов для усиления трафика. В новых атаках зафиксирован переход на использование публичных NTP-серверов. Для усиления трафика от имени жертвы (UDP-пакет с подставным IP) на NTP-сервер отправляется запрос на выполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате размер ответа во много раз превышает исходный запрос (на загруженных серверах на запрос в 234 байт, возвращается ответ в 48 Кб), что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы. Проблему усугубляет то, что команда monlist выполняется без аутентификации, пишет opennet.ru.

Проблеме подвержены все версии ntpd до 4.2.7p25 включительно, в выпуске 4.2.7p26 поддержка команды monlist была отключена. В качестве меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется запретить выполнение команды мониторинга через директиву "disable monitor" или все команды выдачи статистики через опцию "noquery" в секции "restrict default" в ntp.conf. Также можно ограничить доступ к сервису NTP для внешних сетей или использовать модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). Обновление с устранением уязвимости (CVE-2013-5211) уже выпущено для FreeBSD. Проверить наличие уязвимости в сервере можно выполнив "/usr/sbin/ntpdc ip_сервера" и введя команду "monlist".

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 04 Августа 2025 - 21:37

Indeed Privileged Access Manager Корпорации Компания Индид

Indeed PAM стал совместим с РЕД ОС для контроля привилегированного доступа

Российские ИТ-компании «Индид» и «РЕД СОФТ» объявили о технологическом партнёрстве. Главная цель — усилить контроль над привилегированным доступом к ИТ-системам и упростить переход организаций на отечественное ПО.

Компании провели интеграцию решения Indeed PAM (система управления привилегированным доступом от «Индид») с операционной системой РЕД ОС 8 на базе Linux.

Теперь можно централизованно управлять действиями пользователей с расширенными правами на компьютерах с РЕД ОС, фиксировать все действия в сессиях и использовать многофакторную аутентификацию.

Интеграция особенно актуальна на фоне усиления требований регуляторов и роста интереса к импортонезависимым технологиям. РЕД ОС входит в реестр Минцифры и может применяться в инфраструктуре, где требуется повышенный уровень защиты.

В «Индид» подчёркивают, что это сотрудничество позволяет создать надёжную систему контроля доступа на базе российского софта. В «РЕД СОФТ» добавляют, что партнёрство поможет организациям быстрее и проще перейти на отечественные решения, снизив тем самым риски кибератак.

Волна DDoS-атак, использующих NTP-серверы для усиления трафика

Читайте также