RTシリーズのセキュリティに関するFAQ

ntpdのmonlist機能を使ったDDoS攻撃に関する注意喚起について

ntpdのmonlist機能を使ったDDoS攻撃に関する注意喚起について

JPCERT/CCから、「ntpdのmonlist機能を使ったDDoS攻撃に関する注意喚起」が出されています。また、同様の情報が、JVNから「NTPがDDoS攻撃の踏み台として使用される問題」としても報告されています。

この問題は、ntpdが持つmonlist機能を悪用することで、ntpdを搭載したNTPサーバーを踏み台として他のホストへDDoS攻撃を行うことができる、というものです。

ntpdとは、オープンソースによるNTPサーバーソフトで、事実上のNTPプロトコルのリファレンス実装です。現在はNTP Projectでメンテナンスされています。monlist機能は、ntpdの状態をリモートで管理するための機能ですが、NTPプロトコルには含まれておらず、ntpdのプライベートな機能として実装されています。

ヤマハルーターのSNTPサーバー機能は、その実装としてntpdを利用していません。また、monlist機能に相当する機能も持っていません。そのため、今回報告されているDDoS攻撃の手法ではヤマハルーターを踏み台として攻撃を実行することはできません。

参考情報

ヤマハルーターの工場出荷時設定では、以下のような設定になっています。

sntpd service on
sntpd host lan
    

この設定により、ヤマハルーターは工場出荷時設定では、「SNTPDサーバー機能は有効」「LANインタフェース側にいるSNTPクライアントに対してのみ返答を返す」という動作となっています。PPPoEインタフェースなど、インターネット側のSNTPクライアントは無視する設定なので、インターネットからのNTPを使った攻撃は無効となります。

なお、SNTPサーバー機能を無効にする場合には、以下のように設定します。

sntpd service off
    

[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]