반응형
NTP Amplification DDoS 공격 (monlist 취약점)
NTP의 monlist 기능을 이용한 대량의 네트워크 트래픽을 유발시키는 공격
"monlist" 명령어는 NTP 서버에 접속한 최근 600개의 IP 정보를 전송하는 명령어이다.
공격과정
1. 공격자는 출발지IP를 변조하여 불특정 NTP 서버로 다수의 쿼리(monlist 명령어) 전송
2. NTP 서버는 증폭된 패킷을 변조된 IP(공격대상)로 응답
3. 공격대상 서버는 증폭된 다수의 쿼리 수신으로 네트워크 대역폭 고갈
###################
NTP 증폭 공격 대응방안
ntpdc --version
ls -al /etc/ntp*
ntpdc -c monlist 192.168.1.2
+NTP 최신버전업데이트
4.2.7 이상 버전이면 monlist 기능 제거돔.
+monlist 기능제거
/etc/ntp.conf 파일 'disable monitor' 추가
+ntpdc -c monlist "서버IP"
취약점 존재여부 확인 명령어 해당 서버가 monlist 명령어를 허용하는지 체크
'IT > 보안설정' 카테고리의 다른 글
| 크로스사이트 스크립팅(XXS) (0) | 2022.02.26 |
|---|