Fork me on GitHub

ntp漏洞修复

字数统计: 481字   |   阅读时长≈ 1分

CVE-2013-5211漏洞说明:

1
2
3
4
5
CVE-2013-5211最早公布是2014年1月10日,由于NTP本身不会验证发送者的源ip地址。这就类似于DNS解析器使用的DRDoS(分布式反射型拒绝服务攻击)。

攻击者HACK发送了一个伪造报文发送给NTP服务器Server A,将数据包中的源ip地址改成了受害者Client A的ip地址。NTP服务器Server A会响应这个请求,相对于初始请求,响应包发送的字节数是一个被放大的量,导致受害者Client A被dos攻击。

最高的两个消息类型:REQ_MON_GETLIST 和REQ_MON_GETLIST_1,通过高达3660和5500的一个因素分别放大原始请求。

解决方案:

1
放大反射dos攻击由CVE-2013-5211所致。且这漏洞是与molist功能有关。Ntpd4.2.7p26之前的版本都会去响应NTP中的 mode7“monlist”请求。NTP 包含一个 monlist 功能,也被称为 MON_GETLIST,主要用于监控 NTP 服务器,NTP 服务器响应 monlist 后就会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每6个IP 进行分割,最多有 100 个响应包。ntpd-4.2.7p26版本后,“monlist”特性已经被禁止,取而代之的是“mrulist”特性,使用 mode6控制报文,并且实现了握手过程来阻止对第三方主机的放大攻击。

操作步骤:

1
2
3
4
5
6
7
8
9
echo "disable monitor" >> /etc/ntp.conf
# /etc/init.d/ntpd restart  #重启ntp服务

验证:
运行 # ntpdc
ntpdc> monlist
***Server reports data not found
ntpdc>
此时monlist已经被禁止了,也不会影响其时间同步 。
1
2
3
或者在配置文件中增加以下两行并重启ntp服务:
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

建议

1
2
3
如果线上环境允许,还是建议升级ntp到最新版本

官网:http://www.ntp.org/downloads.html

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true


不论我写了什么...
其实都是错的......