Als jij NTP gebruikt op jouw servers en/of VPS'jes dan loop je het risico dat door een bug er van jouw server gebruik gemaakt kan worden om een DDoS aanval uit te voeren op andere IP-adressen.
Hierbij doet de aanvaller alsof hij/zij het bron ip-adres van het doelwit zijn. Ze verzoeken vervolgens een reactie van jouw NTP server; dit antwoord zal altijd groter zijn dan het verzoek, en aangezien zij het ip-adres van het doelwit spoofen, zal deze bestookt worden met antwoorden van jouw NTP server.
Om erachter te komen of ook jouw server dit probleem heeft kun je het volgende commando uitvoeren
ntpd --versionMocht je versie lager zijn dan 4.2.7p26 ben je kwetsbaar voor deze bug.
Indien je toch deze versie draait is het slim om of te updaten, of de volgende stappen te volgen.
Voer het volgende commando uit:
ntpdc -n -c monlist localhostIndien deze een lijst van servers teruggeeft dan heb je mogelijk last van de kwetsbaarheid.
Om jezelf te beschermen van misbruik kun je de volgende regels toevoegen/te vervangen aan/in /etc/ntp.conf
restrict -4 default nomodify nopeer noquery notrap restrict -6 default nomodify nopeer noquery notrap disable monitor
Mocht je je NTP alleen lokaal gebruiken dan is het ook nog een optie om de volgende regel in je /etc/ntp.conf bestand op te nemen:
restrict 127.0.0.1 restrict ::1
Herstart vervolgens je NTP:
/etc/init.d/ntp restart
of
service ntp restart
Controleer vervolgens met het volgende commando nogmaals of de kwetsbaarheid afgeschermd is:
ntpdc -n -c monlist localhost
Als alles goed is gegaan krijg je nu ***Server reports data not found terug.