なんとなくわかる「NTPリフレクション攻撃」

スポンサーリンク

NTPリフレクション攻撃とは

NTPリフレクション攻撃とは、NTP(Network Time Protocol)の仕組みを利用したDDos攻撃の一つで、送信元を偽ってパケットを送信してNTPサーバからの応答を攻撃対象に送られるようにすることで攻撃対象の処理負荷を高めます

NTPとはネットワーク上の時刻を正確にする役割を持ち、NTPサーバにリクエストを行うことでレスポンスとして正確な時間を返してクライアントの時刻を調節します。本来であればリクエストしたデバイスにレスポンスを返すのですが、送信元のデータを攻撃対象のデータに書き換えることでNTPサーバはレスポンスを攻撃対象に送信します

NTPサーバを使って攻撃が行われる理由として、NTPサーバのレスポンスのデータ量のサイズが大きいということが挙げられます。データ量が多くなることで攻撃対象の処理負荷をより高められるのでNTPサーバが使われます。

NTPリフレクション攻撃の方法

NTPリフレクション攻撃はNTPサーバの管理を行うNTP Projectが提唱しているコマンド「ntpd」内のNTP サーバの状態を確認する機能 (monlist) が実装されており、この機能を用いて攻撃が行われました。

NTPはUDPによる通信をしているため、送信元IPアドレスの偽造が容易で送信元アドレスを攻撃対象のIPアドレスに変更することで攻撃が可能です。

NTPリフレクション攻撃の対策

この攻撃はすでにNTP Projectが対策しているためNTPのバージョンを上げることで対策できます。NTPのバージョンがntpd 4.2.7p26 より前のバージョンの場合はこの攻撃を受けてしまうためアップデートが必要です。

確認は、

ntpq -c rv

をコマンドプロンプトで入力することで確認できます(Linux)。

コメント

タイトルとURLをコピーしました