■仮説事象
NTPリフレクション攻撃への対策
攻撃概要:ntpdcのsysinfoコマンドを悪用した攻撃が発生し、従来のmonlistより増幅量が少ないが、DDos化することで攻撃されたネットワークは輻輳を起こし、サーバが機能しなくなる恐れあり。
■対策
攻撃の踏み台とされないよう、利用中のルーターのNTPサーバー機能の停止、運用しているサーバーのNTP停止、NTP設定の変更、ntpdのバージョンアップ等を実施する。
◆現状の障害対応(仮説)
vc01は障害発生時、「LANケーブルの差換え対応」にてvc01予備機に切替を行っている。
◆問題点
vc01予備機はサービスLANから切り離されている為、システム時刻が上位NTPサーバーと合っていない。
このままLANの差替えがされると、差異のあるシステム時刻を適用させてしまう可能性がある。
◆メンテ
①~⑦は、スクリプト化してもOK
(例)
cron設定
10,20,30,40,50 * * * * /bin/bash /home/smc/ntp_start.sh > /dev/null 2>&1
①サービスLANの"Link up"確認
②ntpdプロセス稼動確認($ sudo ps -ef | grep ntp)
③ntpサービス停止($ sudo /etc/init.d/ntpd stop)
④手動時刻同期 ※GUI操作推奨
⑤ntpサービス開始$ sudo /etc/init.d/ntpd start)
⑤ntpdプロセス稼動確認($ sudo ps -ef | grep ntp)
⑥Link upするまで、何もしない
⑦対応完了連絡 ※NOC連絡(運用監視チームとの連携)
<答え合わせ>
NTPリフレクション攻撃 とは、ネットワークを通じて時刻合わせを行うための NTP (Network Time Protocol)を悪用し、攻撃対象に大量のデータを送信して機能を麻痺させる反射型 DoS攻撃 の一つ。 インターネット上には外部からの要求に応じて時刻情報を配信する公開 NTPサーバ が多数存在する。 攻撃者はそのような公開サーバに問い合わせを送信するが、送信元を偽装して応答データが攻撃対象のアドレスに届くよう指定する。 攻撃対象には多数のNTPサーバから身に覚えのない大量の応答データが押し寄せ、通信回線の伝送能力やコンピュータの処理能力を使い切り、正常に稼働を継続できない状態に追い込まれてしまう。
■カジュアル面談受付中
下記からスケジュール設定可能となります。
https://t.co/91lhm0x2JE
~・~・~・~・~・~・~・~・~・~・~
LinkedIn
https://www.linkedin.com/in/akkodis-okada/
Twitter(X)
https://twitter.com/edamamecook