設定 ntpd,避免成為 DDoS 肉雞

大部分系統 ntpd 預設配置檔案都有一個問題,當啟用之後,容易被利用參與 DDoS 放大攻擊。其中的 MONLIST 指令可以回傳該 ntp server 最近聯繫之 ntp server (通常為對時用),若是搭配偽造的 IP address,攻擊者可以創造出類似 DNS 放大攻擊的效果。

CloudFlare 前陣子被 DDoS 攻擊,經查之後發現接近 400 Gbps 的流量是來自於接近 4,500 台的 NTP server 導致的。

於此網站可以查詢有啟動 ntp,可能遭到利用的主機:http://openntpproject.org/ 輸入 IP address range (例:140.115.189.0/24) 可查詢整個網段。

建議各位停用系統中的 ntpd,改用 ntpdate (client only)。 UPDATE: 設定 ntpd 為較好的做法,ntpdate 為過時之工具,參考資料:https://lists.debian.org/debian-user/2002/12/msg04091.html

修改方法為編輯 /etc/rc.conf

編輯 /etc/ntp.conf

同時,也可將 ntpdate 放進 crontab,每日自動對時。

參考資料:http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack