NTPを使ったDDoSについて

1,629 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,629
On SlideShare
0
From Embeds
0
Number of Embeds
22
Actions
Shares
0
Downloads
8
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

NTPを使ったDDoSについて

  1. 1. NTPを使ったDDoSについて 株式会社クルウィット 井澤 志充 2014/2/15 (Sat) Kanazawa.rb #18 @ITビシネスプラザ武蔵 「安心・安全・安定・信頼」できるインターネットサービスを
  2. 2. じこしょうかい • 井澤  志充  (いざわゆきみつ) • (株)クルウィットの取締役  兼  北北陸陸⽀支社⻑⾧長   博⼠士(情報科学) • • ネットワークの委託研究・⾃自社サービス開発など   「安心・安全・安定・信頼」できるインターネットサービスを !2
  3. 3. NTPとは • • • • NTP  (Network  Time  Protocol)   ! ネットワーク越しに時刻を同期させるためのプロトコル   ! UDPをつかっている   ! WindowsもOSXもNTPのクライアントを標準搭載 「安心・安全・安定・信頼」できるインターネットサービスを !3
  4. 4. ntpd • • • • NTPを喋ってシステムの時刻を同期させるためのプログ ラム   ! サーバ側にもクライアント側にもなれる   ! 時刻の精度度に応じて、サーバ間はツリー構造のネット ワークを構成している   ! 4.2.7p26以前のバージョンは脆弱性をもっている 「安心・安全・安定・信頼」できるインターネットサービスを !4
  5. 5. いわゆるサーバ以外にも • • • build-‐‑‒in環境でも動いている   ! ルータ、L3スイッチ、ブロードバンドルーターなど   ! 世界中には700万台以上の脆弱なntpdがインターネット に接続されているらしい 「安心・安全・安定・信頼」できるインターネットサービスを !5
  6. 6. ntpdの脆弱性をつかった攻撃事案 • 2013/12   • ゲーミングプラットフォーム(steam,  origin,battle.net) をターゲットとした攻撃が発⽣生   • ntpdの脆弱性を利利⽤用   • ⼀一部のサービスは、⼀一時的に停⽌止した 「安心・安全・安定・信頼」できるインターネットサービスを !6
  7. 7. 最近の事案 • • • • 2014/2/10   フランス国内をターゲットとした⼤大規模なDDoSが発⽣生   ヨーロッパ圏内で325Gbpsの帯域を埋めた   ! →国内外のISP・ベンダなどが中⼼心となって対応および 注意喚起を実施中 「安心・安全・安定・信頼」できるインターネットサービスを !7
  8. 8. どんなことがおこるの? • NTPには、ntpdの動作状況確認のためのコマンド:   monlist   が実装されている。   ! ntpdが通信した直近の最⼤大600ホストのアドレスを応答 する。   ! ntpdc    -‐‑‒c    monlist    サーバのIPアドレス   で実⾏行行できる。 • • • • • 「安心・安全・安定・信頼」できるインターネットサービスを !8
  9. 9. 実際にやってみた 「安心・安全・安定・信頼」できるインターネットサービスを !9
  10. 10. 拡大 問い合わせ 応答 「安心・安全・安定・信頼」できるインターネットサービスを !10
  11. 11. 攻撃の効果 • • リクエストのパケットサイズは  234  byte   応答パケットサイズは  482  byte     • 最⼤大で100パケット  =  48,200  byte   ! • 増幅効果は、おどろきの206倍!! 「安心・安全・安定・信頼」できるインターネットサービスを !11
  12. 12. UDPはソースアドレスを改ざん可能 • • 先ほどの応答パケットをターゲットに送りつける   ! つまり、問い合わせパケットのソースアドレスを、ター ゲットのものに改ざんする 「安心・安全・安定・信頼」できるインターネットサービスを !12
  13. 13. みなさんのサーバ大丈夫ですか? • • • • 確認⽅方法   サーバ内で以下のコマンドを実⾏行行   ! ntpq  -‐‑‒c  rv   ! 4.2.7p26以下だったら対象のntpdです。 「安心・安全・安定・信頼」できるインターネットサービスを !13
  14. 14. 対処方法 以下、おすすめ順   ! 1.    123/udp  を閉じる   ! 2.    ntpdを最新にする   ! 3.    ntp.conf  に  disable  monitor  を追加する 「安心・安全・安定・信頼」できるインターネットサービスを !14
  15. 15. 確認方法  %  ntpdc    -‐‑‒c    monlist    サーバのIPアドレス   ! remote  address                    port  local  address            count  m  ver  code  avgint    lstint   ===============================================   localhost                                  30441          127.0.0.1                          4  7  2                0              47              0   ! ↑お返事が返ってきちゃったらダメです。   「安心・安全・安定・信頼」できるインターネットサービスを !15
  16. 16. まとめ • • ntp  amplify  attack  が流流⾏行行中   ! ⾃自分のサーバも確認してみましょう 「安心・安全・安定・信頼」できるインターネットサービスを !16
  17. 17. One more thing ... OSX  で  vmnet  を  tcpdump  する⽅方法   ! 素直に実⾏行行すると   %  sudo  tcpdump  -‐‑‒i  vmnet8   tcpdump:  vmnet8:  No  such  device  exists   (BIOCSETIF  failed:  Device  not  configured)   ! って⾔言われるので   ! %  sudo  tcpdump  -‐‑‒i  pktap,vmnet8   ! でOK   「安心・安全・安定・信頼」できるインターネットサービスを !17
  18. 18. • Thank  You!   • If  you  have  any  comments,   • please  send  to:   • Mail:  izawa@izawa.org  /  izawa@clwit.co.jp   • Twitter:  @Yukimitsu_̲Izawa 「安心・安全・安定・信頼」できるインターネットサービスを !18

×