at+linkからのお知らせ

現在インターネット上で ntpd （時刻補正ソフトウェア） の monlist 機能を使った
DDoS 攻撃が増えています。

下記条件に一致するお客様サーバは、本攻撃の影響を受ける可能性がありますので、
注意が必要です。

- ntpd（4.2.6p26 より前のバージョン ）がサーバで動作している
- ntpd の monlist 機能が有効になっている

本攻撃の対象や踏み台となった場合は、高いトラフィックが発生する恐れがあります。

※ 詳細は、次の URL をご覧ください。
　http://cwe.mitre.org/data/definitions/406.html
　http://jvn.jp/cert/JVNVU96176042/
　https://www.jpcert.or.jp/at/2014/at140001.html
　http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211
　http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
　https://www.kb.cert.org/vuls/id/348126


当サービスデフォルト状態では 時刻同期には ntpdate を利用しており、
ntpd の起動は行っておりません。
この為、デフォルト状態でご利用頂いている場合は、本件の影響はございません。

また、RHEL5/6（CentOS5/6) にて ntpd を利用されている場合でも、
OS 標準の /etc/ntp.conf をそのまま利用されている場合は、下記 restrict 行が
記載されているため、monlist 機能へのリクエストが制限されており、
影響はない模様です。

restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

https://bugzilla.redhat.com/show_bug.cgi?id=1047854#c5


お客様にて ntpd を使用し、NTP サーバとして公開している場合や、
/etc/ntp.conf を修正されている場合は、本件の確認が必要となります。
これに該当する場合は、対策を行われる事をお勧めします。


ntpd の設定により、monlist 機能を無効・アクセス制限にする事で
本攻撃の影響を軽減する事が可能な模様です。
また、NTP サービスを外部に提供する必要が無い場合は、外部からの NTP
サーバへの通信を制限することも検討ください。