NTP 増幅攻撃
NTP 増幅攻撃 とは何ですか?
NTP 増幅攻撃NTP の MONLIST などのコマンドを悪用したリフレクション DDoS。NTP サーバーから詐称された被害者宛に極めて大きなパケットを返させる。
NTP 増幅攻撃は、設定不備の Network Time Protocol サーバーが制御問い合わせ(歴史的には ntpd 4.2.7 未満の MONLIST)に対し、最大 600 件分の最近のクライアント情報を返してしまう挙動を悪用します。送信元 IP を被害者に詐称した小さな MONLIST 問い合わせを送ると、約 200〜500 倍の応答パケットが被害者へ反射されます。この手法は 2016 年以前に当時最大級の DDoS 攻撃をいくつも生み出しました。対策には、ntpd の更新、MONLIST など制御コマンドの制限(ntp.conf の "noquery"/"limited")、BCP 38 に基づく送信元検証、NTP 応答のレート制御、DDoS スクラビングの利用などがあります。広く知られていても、脆弱な NTP サーバーは依然としてスキャンで見つかります。
● 例
- 01
攻撃者が被害者 IP を詐称した小さな MONLIST を送信し、サーバーが数 KB の監視情報を被害者へ返す。
- 02
数百台のパブリック NTP サーバーを並行して悪用し、数百 Gbps の反射トラフィックを標的に集中させる。
● よくある質問
NTP 増幅攻撃 とは何ですか?
NTP の MONLIST などのコマンドを悪用したリフレクション DDoS。NTP サーバーから詐称された被害者宛に極めて大きなパケットを返させる。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
NTP 増幅攻撃 とはどういう意味ですか?
NTP の MONLIST などのコマンドを悪用したリフレクション DDoS。NTP サーバーから詐称された被害者宛に極めて大きなパケットを返させる。
NTP 増幅攻撃 からどのように防御しますか?
NTP 増幅攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。