网络时间协议

  • 保证网络设备时间同步
  • 电子设备互相干扰导致时钟差异越来越大
  • 影响应用正常运行、日志审计不可信

  • 服务端口UDP 123

    攻击原理

    NTP 服务提monlist (MON_GETLIST) 查询功能

  • 监控NTP 服务器的状况

客户端查询时,NTP服务器返回最后同步时间的600 个客户端IP

  • 每6个IP一个数据包,最多100个数据包(放大约100倍)

    攻击实例

    ubantu:apt-getinstall ntp
    netstat -tulnp |grep 123

    1. vi /etc/ntp.conf
    2. # restrict -4 default kod notrap nomodify nopeer noquery limited 
    3. # restrict -6 default kod notrap nomodify nopeer noquery limited #把这两行注释掉
    4. /etc/init.d/ntp restart



    kali: 扫描漏洞

    1. nmap -sU -p 1.1.1.1.0/24 --open
    2. nmap -sU -p 123 -sV 1.1.1.1
    3. 发现漏洞
    4. ntpdc -n -c monlist 1.1.1.1
    5. ntpq -c rv 1.1.1.1
    6. ntpdc -c sysinfo 1.1.1.1

    防御

  • 升级到 ntpd 4.2.7p26 及以上版本(默认关闭 monlist 查询)

  • 手动关闭 monlist 查询功能