::: NTP Amplification Attack using ntpdc monlist command :::

NTP 증폭 분산 서비스 거부 취약점 경고



NTP 서버에 최근 NTP 질의에 응답을 했던 목록을 보여주는 'monlist' 기능을 악용한 증폭 분산 서비스 거부 취약점이 발견되었습니다.
root에서 'ntpd --version'으로 NTP 버전을 확인하고 4.2.7p26 보다 버전이 낮으면 즉시 4.2.7p26 이상으로 업그레이드 하시기 바랍니다.

최신 버전 NTP 다운로드

NTP 버전을 4.2.7p26 이상으로 업그레이드 하실 수 없는 경우, NTP의 'monlist' 기능을 해제하기 위해 아래 빨간색 두 문장을 ntp.conf 파일에 추가한 후 NTP 데몬 재시작하시기 바랍니다. 자세한 내용은 이곳을 참고하세요. IPv4: restrict default limited kod nomodify notrap nopeer noquery IPv6: restrict -6 default limited kod nomodify notrap nopeer noquery
Localhost에서 NTP 데몬을 확인하려면 아래 두 문장을 역시 ntp.conf 파일에 추가하세요. (Localhost에서 'ntpq -p' 등의 명령어를 사용할 경우...) IPv4: restrict 127.0.0.1 IPv6: restrict -6 ::1
위의 명령어를 입력한 ntp.conf 파일의 예는 아래와 같습니다. [root@timeserver etc]# cat ntp.conf restrict default limited kod nomodify notrap nopeer noquery restrict -6 default limited kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict -6 ::1 server time.abc.com server time.xyz.com server time.123.com driftfile /var/lib/ntp/drift

이번 NTP 보안 취약점에 대한 참조 사이트는 아래와 같습니다. NTP Amplification Attacks Using CVE-2013-5211 - US-CERT Vulnerability Summary for CVE-2013-5211 - National Cyber Awareness System, NIST DRDoS / Amplification Attack using ntpdc monlist command - SUPPORT.NTP.ORG ntpd access restrictions - SUPPORT.NTP.ORG NTP 분산 서비스 거부 취약점 보안업데이트 권고 - KISA 인터넷 침해 대응센터 NTP 증폭 공격, 최신 DDoS 공격 트렌드가 되다 - 데일리시큐 KISA, 디도스 공격 대비 NTP 서버 보안 강화 당부 NTP 서버 보안 가이드 (KISA, 2015.01)