RTシリーズのセキュリティに関するFAQ
ntpdのmonlist機能を使ったDDoS攻撃に関する注意喚起について
最終変更日 | 2018/Nov/06 |
文書サイズ | 4.0K |
ntpdのmonlist機能を使ったDDoS攻撃に関する注意喚起について
JPCERT/CCから、「ntpdのmonlist機能を使ったDDoS攻撃に関する注意喚起」が出されています。また、同様の情報が、JVNから「NTPがDDoS攻撃の踏み台として使用される問題」としても報告されています。
この問題は、ntpdが持つmonlist機能を悪用することで、ntpdを搭載したNTPサーバーを踏み台として他のホストへDDoS攻撃を行うことができる、というものです。
ntpdとは、オープンソースによるNTPサーバーソフトで、事実上のNTPプロトコルのリファレンス実装です。現在はNTP Projectでメンテナンスされています。monlist機能は、ntpdの状態をリモートで管理するための機能ですが、NTPプロトコルには含まれておらず、ntpdのプライベートな機能として実装されています。
ヤマハルーターのSNTPサーバー機能は、その実装としてntpdを利用していません。また、monlist機能に相当する機能も持っていません。そのため、今回報告されているDDoS攻撃の手法ではヤマハルーターを踏み台として攻撃を実行することはできません。
ヤマハルーターの工場出荷時設定では、以下のような設定になっています。
sntpd service on sntpd host lan
この設定により、ヤマハルーターは工場出荷時設定では、「SNTPDサーバー機能は有効」「LANインタフェース側にいるSNTPクライアントに対してのみ返答を返す」という動作となっています。PPPoEインタフェースなど、インターネット側のSNTPクライアントは無視する設定なので、インターネットからのNTPを使った攻撃は無効となります。
なお、SNTPサーバー機能を無効にする場合には、以下のように設定します。
sntpd service off
[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]