前言
本節學習NTP放大攻擊
1、簡介
Network Time Protocol
- 保證網絡設備時間同步
- 電子設備互相干擾導致時鐘差異越來越大,影響應用正常運行、日誌審計不可信
- 服務端口UDP 123
攻擊原理
- NTP 服務提monlist (MON_GETLIST) 查詢功能,監控NTP 服務器的狀況
- 客戶端查詢時,NTP服務器返回最後同步時間的600 個客戶端IP,每6個IP一個數據包,最多100個數據包(放大約100倍)
2、攻擊嘗試
服務器ubantu
IP:192.168.1.115
#安裝 ntp
apt-get install ntp
netstat -tulnp | grep 123
攻擊者kali
#掃描發現 ntp 服務器
nmap -sU -p 123 192.168.1.0/24 --open
nmap -sU -p 123 -sV 192.168.1.115
#掃描發現漏洞
ntpdc -n -c monlist 192.168.1.115
192.168.1.115: timed out, nothing received
***Request timed out # 說明不存在漏洞
服務器ubantu
#配置 ntp 服務器配置
vi /etc/ntp.conf
#註釋 38 和 39行
# restrict -4 default kod notrap nomodify nopeer noquery limited
# restrict -6 default kod notrap nomodify nopeer noquery limited #把這兩行註釋掉
/etc/init.d/ntp restart
攻擊者kali
#掃描發現漏洞
ntpdc -n -c monlist 192.168.1.115
ntpq -c rv 192.168.1.115
ntpdc -c sysinfo 192.168.1.115
結語
主要學習理解NTP攻擊原理
同時 NTP 攻擊防禦對策有
- 升級到 ntpd 4.2.7p26 及以上版本(默認關閉 monlist 查詢)
- 手動關閉 monlist 查詢功能