Исходное сообщение
"Волна DDoS-атак, использующих NTP-серверы для усиления трафика" Отправлено opennews, 15-Янв-14 11:37
Компьютерная команда экстренной готовности США (US-CERT) опубликовала (http://www.us-cert.gov/ncas/alerts/TA14-013A) предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. В процессе атаки, запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом. Ранее подобные атаки как правило проводились (https://www.opennet.ru/opennews/art.shtml?num=36525) c задействованием DNS-серверов для усиления трафика. В новых атаках зафиксирован переход на использование публичных NTP-серверов. Для усиления трафика от имени жертвы (UDP-пакет с подставным IP) на NTP-сервер отправляется запрос на выполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате размер ответа в несколько сотен раз превышает исходный запрос, что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы. Проблему усугубляет то, что команда monlist выполняется без аутентификации. В качестве временной меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется ограничить доступ к сервису NTP для внешних сетей или использовать  специально модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). Обновления с устранением уязвимости уже выпущены для FreeBSD (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Jan...). \ URL: http://www.us-cert.gov/ncas/alerts/TA14-013A Новость: https://www.opennet.ru/opennews/art.shtml?num=38855