Kwetsbaarheid voor DDoS aanvallen met behulp van NTP daemon

Als jij NTP gebruikt op jouw servers en/of VPS'jes dan loop je het risico dat door een bug er van jouw server gebruik gemaakt kan worden om een DDoS aanval uit te voeren op andere IP-adressen.

Hierbij doet de aanvaller alsof hij/zij het bron ip-adres van het doelwit zijn. Ze verzoeken vervolgens een reactie van jouw NTP server; dit antwoord zal altijd groter zijn dan het verzoek, en aangezien zij het ip-adres van het doelwit spoofen, zal deze bestookt worden met antwoorden van jouw NTP server.

Om erachter te komen of ook jouw server dit probleem heeft kun je het volgende commando uitvoeren

ntpd --version
Mocht je versie lager zijn dan 4.2.7p26 ben je kwetsbaar voor deze bug.
Als je versie hoger is, of je hebt geen NTP geinstalleerd dan ben je niet kwetsbaar.

Indien je toch deze versie draait is het slim om of te updaten, of de volgende stappen te volgen.

Voer het volgende commando uit:

ntpdc -n -c monlist localhost
Indien deze een lijst van servers teruggeeft dan heb je mogelijk last van de kwetsbaarheid.

Om jezelf te beschermen van misbruik kun je de volgende regels toevoegen/te vervangen aan/in /etc/ntp.conf

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap
disable monitor

Mocht je je NTP alleen lokaal gebruiken dan is het ook nog een optie om de volgende regel in je /etc/ntp.conf bestand op te nemen:

restrict 127.0.0.1
restrict ::1

Herstart vervolgens je NTP:

/etc/init.d/ntp restart

of

service ntp restart

Controleer vervolgens met het volgende commando nogmaals of de kwetsbaarheid afgeschermd is:

ntpdc -n -c monlist localhost

Als alles goed is gegaan krijg je nu ***Server reports data not found terug.