[Ninux-Wireless] Attacchi DDos via server ntp

Saverio Proto zioproto a gmail.com
Gio 16 Gen 2014 17:47:42 CET


salve, vi giro queste info che potrebbero essere utili.

sono in corso grossi attacchi DDoS che
utilizzano server ntp (porta 123) come amplificatori.

I comandi che sono utilizzati, con mittente falsificato, sono i seguenti:

$ ntpq -c rv
$ ntpdc -c sysinfo
$ ntpdc -n -c monlist

In questo modo un singolo pacchetto puo' provocare una risposta di molti
byte che viene inviata al nodo destinatario dell'attacco (il mittente
falsificato, appunto).

Per verificare se i vostri server sono vulnerabili, oltre ovviamente a
dare i comandi di sopra, potete utilizzare nmap:

nmap -sU -pU:123 -Pn -n --script=ntp-monlist <host list>

Se i vostri server sono vulnerabili, il consiglio e' di aggiornarli
almeno alla versione 4.2.7p26 e/o aggiungere queste righe alla loro
configurazione

   restrict default noquery
   restrict localhost
   restrict 192.168.0.0 netmask 255.255.0.0

La terza riga ovviamente va modificata.

Maggiori informazioni le potete trovare su doc.ntp.org e su
www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html



Maggiori informazioni sulla lista Wireless