Các bước để bảo mật NTP máy chủ trước các đợt tấn công DDOS

 Làm thế nào để bảo mật NTP máy chủ (server) trước các đợt tấn công DDOS

Network time protocal (NTP) server thường xuyên được sử dùng để phản xạ và khuếch đại các gói tin UDP mạo danh đến mục tiêu cần tấn công DDOS. Các cuộc tấn công đang phát triển về tần suất và quy mô gây ra rắc rối lớn cho các nhà cung cấp dịch vụ internet, các tổ chức lưu trữ và một số trang game online.

Các máy chủ NTP cung cấp monlist command là điều đặc biệt phiền phức gây ra việc khuếch đại các gói tin ảnh hưởng rất lớn đến hệ thống mạng.

Lỗ hỏng NTP máy chủ được ghi nhận có mã CVE-2013-5211 hoặc VU#348126, hay còn gọi là tấn công khuếch đại dùng ntpdc monlist command. Lỗ hỏng này thực chất không phải là lỗ hỏng mà là một tính năng của NTP server nhưng bị lợi dụng để gây hậu quả lớn.

Tính năng monlist của NTP server là 1 danh sách các máy tính kết nối đến NTP server. Khi nhận được request yêu cầu cung cấp monlist, NTP server sẽ vui vẻ cung cấp các danh sách các máy tính kết nối đến NTP server mà không cần quan tâm xem ai đã tạo request. Cứ có hỏi là sẽ được giải đáp.

Ở đây chúng ta thấy rõ là vấn đề mà kẻ xấu lợi dụng để gây khuếch đại. Chỉ 1 request nhỏ gửi đi server sẽ sinh ra 1 danh sách với kích thước lớn hơn rất nhiều so với request ban đầu. Các request được gửi đi từ máy hacker được giả mạo source ip thành ip của nạn nhân, trong khi máy nạn nhân không gửi đi bất kỳ request nào.

DDos máy chủ 1

DDos máy chủ 1

Việc bảo mật NTP server trong hệ thống mạng của bạn không chỉ dừng lại ở việc nó không tham gia tấn công vào mạng khác mà còn giúp bạn tiết kiệm thời gian và chi phí khi có vấn đề gây ra cho hệ thống mạng của bạn.

1. Kiểm tra bất kỳ máy chủ NTP trong mạng của bạn có đáp ứng với lệnh monlist không?

Kiểm tra máy chủ NTP từ một máy cá nhân bằng lệnh:

$ ntpdc -n -c monlist

or

$ ntpq -c rv

Trong đó a.b.c.d là IP của NTP server. Máy chủ NTP sẽ trả về máy gửi đến nó 1 list danh sách các kết nối đến nó.

2. Giảm thiểu các tiếp xúc hệ thống mạng của bạn với các máy chủ NTP không cần thiết.

3. Các máy chủ NTP còn lại phải được cách ly bằng firewall, làm như vậy bạn có thể ngăn chặn các truy cập không cần thiết đến NTP server nhưng điều này cũng gây ảnh hưởng đến các dịch vụ hợp pháp khác, bạn phải làm điều này một cách cẩn thận.

4. Nếu có thể upgrade phiên bản NTP lên NTP-4.2.7p26 hoặc sau đó, phiên bản này loại bỏ các lệnh monlist.

5. Với các phiên bản cũ hơn thì có thể add ‘disable monitor’ trong file ntp.conf

6. Team Cymru cung cấp các template cấu hình an toàn cho Cisco IOS, Juniper JUNOS và ntpd tại http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

7. Cho những hệ thống khác thì xin tư vấn ý kiến từ đối tác triển khai cho bạn để được họ hỗ trợ.

CÔNG TY CỔ PHẦN VDO

Trụ sở chính Hà Nội:

Địa chỉ: 55/79 Đường Cầu Giấy, Quận Cầu Giấy, TP.Hà Nội

Chi nhánh TP.HCM

Địa chỉ: 366 Huỳnh Văn Bánh, Phường 14, Quận Phú Nhận, TP.HCM

Liên hệ: 0989805381 – Ms.Vân