共计 790 个字符,预计需要花费 2 分钟才能阅读完成。
CVE-2013-5211 漏洞说明:
CVE-2013-5211 最早公布是 2014 年 1 月 10 日,由于 NTP 本身不会验证发送者的源 ip 地址。这就类似于 DNS 解析器使用的 DRDoS(分布式反射型拒绝服务攻击)。攻击者 HACK 发送了一个伪造报文发送给 NTP 服务器 Server A,将数据包中的源 ip 地址改成了受害者 Client A 的 ip 地址。NTP 服务器 Server A 会响应这个请求,相对于初始请求,响应包发送的字节数是一个被放大的量,导致受害者 Client A 被 dos 攻击。最高的两个消息类型:REQ_MON_GETLIST 和 REQ_MON_GETLIST_1,通过高达 3660 和 5500 的一个因素分别放大原始请求。
【解决方案】:
放大反射 dos 攻击由 CVE-2013-5211 所致。且这漏洞是与 molist 功能有关。Ntpd4.2.7p26 之前的版本都会去响应 NTP 中的 mode7“monlist”请求。ntpd-4.2.7p26 版本后,“monlist”特性已经被禁止,取而代之的是“mrulist”特性,使用 mode6 控制报文,并且实现了握手过程来阻止对第三方主机的放大攻击。
操作步骤:
echo "disable monitor" >> /etc/ntp.conf重启 ntp 服务
验证:
运行 # ntpdc
ntpdc> monlist
***Server reports data not found
ntpdc>此时 monlist 已经被禁止了,也不会影响其时间同步。或者在配置文件中增加以下两行并重启 ntp 服务:
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
正文完
星哥玩云-微信公众号
