0
NTPを使ったDDoSについて
株式会社クルウィット
井澤 志充
2014/2/15 (Sat)
Kanazawa.rb #18
@ITビシネスプラザ武蔵

「安心・安全・安定・信頼」できるインターネットサービスを
じこしょうかい
•

井澤  志充  (いざわゆきみつ)

•

(株)クルウィットの取締役  兼  北北陸陸⽀支社⻑⾧長  
博⼠士(情報科学)

•
•

ネットワークの委託研究・⾃自社サービス開発など  

「安心・安全・安定・信頼」でき...
NTPとは
•

•

•

•

NTP  (Network  Time  Protocol)  
!
ネットワーク越しに時刻を同期させるためのプロトコル  
!
UDPをつかっている  
!
WindowsもOSXもNTPのクライアントを標...
ntpd
•

•

•

•

NTPを喋ってシステムの時刻を同期させるためのプログ
ラム  
!
サーバ側にもクライアント側にもなれる  
!
時刻の精度度に応じて、サーバ間はツリー構造のネット
ワークを構成している  
!
4.2.7p2...
いわゆるサーバ以外にも
•

•

•

build-‐‑‒in環境でも動いている  
!
ルータ、L3スイッチ、ブロードバンドルーターなど  
!
世界中には700万台以上の脆弱なntpdがインターネット
に接続されているらしい

「安心・安...
ntpdの脆弱性をつかった攻撃事案
•

2013/12  

•

ゲーミングプラットフォーム(steam,  origin,battle.net)
をターゲットとした攻撃が発⽣生  

•

ntpdの脆弱性を利利⽤用  

•

⼀一部の...
最近の事案
•
•
•

•

2014/2/10  
フランス国内をターゲットとした⼤大規模なDDoSが発⽣生  
ヨーロッパ圏内で325Gbpsの帯域を埋めた  
!
→国内外のISP・ベンダなどが中⼼心となって対応および
注意喚起を実施中...
どんなことがおこるの?
•

NTPには、ntpdの動作状況確認のためのコマンド:  
monlist  
が実装されている。  
!
ntpdが通信した直近の最⼤大600ホストのアドレスを応答
する。  
!
ntpdc    -‐‑‒c  ...
実際にやってみた

「安心・安全・安定・信頼」できるインターネットサービスを

!9
拡大

問い合わせ
応答

「安心・安全・安定・信頼」できるインターネットサービスを

!10
攻撃の効果
•
•

リクエストのパケットサイズは  234  byte  
応答パケットサイズは  482  byte    
•

最⼤大で100パケット  =  48,200  byte  

!
•

増幅効果は、おどろきの206倍!!...
UDPはソースアドレスを改ざん可能
•

•

先ほどの応答パケットをターゲットに送りつける  
!
つまり、問い合わせパケットのソースアドレスを、ター
ゲットのものに改ざんする

「安心・安全・安定・信頼」できるインターネットサービスを

!...
みなさんのサーバ大丈夫ですか?
•
•

•

•

確認⽅方法  
サーバ内で以下のコマンドを実⾏行行  
!
ntpq  -‐‑‒c  rv  
!
4.2.7p26以下だったら対象のntpdです。

「安心・安全・安定・信頼」できるインタ...
対処方法
以下、おすすめ順  
!
1.    123/udp  を閉じる  
!
2.    ntpdを最新にする  
!
3.    ntp.conf  に  disable  monitor  を追加する

「安心・安全・安定・信頼」でき...
確認方法
  %  ntpdc    -‐‑‒c    monlist    サーバのIPアドレス  
!
remote  address                    port  local  address            c...
まとめ
•

•

ntp  amplify  attack  が流流⾏行行中  
!
⾃自分のサーバも確認してみましょう

「安心・安全・安定・信頼」できるインターネットサービスを

!16
One more thing ...
OSX  で  vmnet  を  tcpdump  する⽅方法  

!
素直に実⾏行行すると  
%  sudo  tcpdump  -‐‑‒i  vmnet8  
tcpdump:  vmnet8: ...
•

Thank  You!  
•

If  you  have  any  comments,  
•

please  send  to:  
•

Mail:  izawa@izawa.org  /  izawa@clwit.co.jp...
Upcoming SlideShare
Loading in...5
×

NTPを使ったDDoSについて

1,081

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,081
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
6
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "NTPを使ったDDoSについて"

  1. 1. NTPを使ったDDoSについて 株式会社クルウィット 井澤 志充 2014/2/15 (Sat) Kanazawa.rb #18 @ITビシネスプラザ武蔵 「安心・安全・安定・信頼」できるインターネットサービスを
  2. 2. じこしょうかい • 井澤  志充  (いざわゆきみつ) • (株)クルウィットの取締役  兼  北北陸陸⽀支社⻑⾧長   博⼠士(情報科学) • • ネットワークの委託研究・⾃自社サービス開発など   「安心・安全・安定・信頼」できるインターネットサービスを !2
  3. 3. NTPとは • • • • NTP  (Network  Time  Protocol)   ! ネットワーク越しに時刻を同期させるためのプロトコル   ! UDPをつかっている   ! WindowsもOSXもNTPのクライアントを標準搭載 「安心・安全・安定・信頼」できるインターネットサービスを !3
  4. 4. ntpd • • • • NTPを喋ってシステムの時刻を同期させるためのプログ ラム   ! サーバ側にもクライアント側にもなれる   ! 時刻の精度度に応じて、サーバ間はツリー構造のネット ワークを構成している   ! 4.2.7p26以前のバージョンは脆弱性をもっている 「安心・安全・安定・信頼」できるインターネットサービスを !4
  5. 5. いわゆるサーバ以外にも • • • build-‐‑‒in環境でも動いている   ! ルータ、L3スイッチ、ブロードバンドルーターなど   ! 世界中には700万台以上の脆弱なntpdがインターネット に接続されているらしい 「安心・安全・安定・信頼」できるインターネットサービスを !5
  6. 6. ntpdの脆弱性をつかった攻撃事案 • 2013/12   • ゲーミングプラットフォーム(steam,  origin,battle.net) をターゲットとした攻撃が発⽣生   • ntpdの脆弱性を利利⽤用   • ⼀一部のサービスは、⼀一時的に停⽌止した 「安心・安全・安定・信頼」できるインターネットサービスを !6
  7. 7. 最近の事案 • • • • 2014/2/10   フランス国内をターゲットとした⼤大規模なDDoSが発⽣生   ヨーロッパ圏内で325Gbpsの帯域を埋めた   ! →国内外のISP・ベンダなどが中⼼心となって対応および 注意喚起を実施中 「安心・安全・安定・信頼」できるインターネットサービスを !7
  8. 8. どんなことがおこるの? • NTPには、ntpdの動作状況確認のためのコマンド:   monlist   が実装されている。   ! ntpdが通信した直近の最⼤大600ホストのアドレスを応答 する。   ! ntpdc    -‐‑‒c    monlist    サーバのIPアドレス   で実⾏行行できる。 • • • • • 「安心・安全・安定・信頼」できるインターネットサービスを !8
  9. 9. 実際にやってみた 「安心・安全・安定・信頼」できるインターネットサービスを !9
  10. 10. 拡大 問い合わせ 応答 「安心・安全・安定・信頼」できるインターネットサービスを !10
  11. 11. 攻撃の効果 • • リクエストのパケットサイズは  234  byte   応答パケットサイズは  482  byte     • 最⼤大で100パケット  =  48,200  byte   ! • 増幅効果は、おどろきの206倍!! 「安心・安全・安定・信頼」できるインターネットサービスを !11
  12. 12. UDPはソースアドレスを改ざん可能 • • 先ほどの応答パケットをターゲットに送りつける   ! つまり、問い合わせパケットのソースアドレスを、ター ゲットのものに改ざんする 「安心・安全・安定・信頼」できるインターネットサービスを !12
  13. 13. みなさんのサーバ大丈夫ですか? • • • • 確認⽅方法   サーバ内で以下のコマンドを実⾏行行   ! ntpq  -‐‑‒c  rv   ! 4.2.7p26以下だったら対象のntpdです。 「安心・安全・安定・信頼」できるインターネットサービスを !13
  14. 14. 対処方法 以下、おすすめ順   ! 1.    123/udp  を閉じる   ! 2.    ntpdを最新にする   ! 3.    ntp.conf  に  disable  monitor  を追加する 「安心・安全・安定・信頼」できるインターネットサービスを !14
  15. 15. 確認方法  %  ntpdc    -‐‑‒c    monlist    サーバのIPアドレス   ! remote  address                    port  local  address            count  m  ver  code  avgint    lstint   ===============================================   localhost                                  30441          127.0.0.1                          4  7  2                0              47              0   ! ↑お返事が返ってきちゃったらダメです。   「安心・安全・安定・信頼」できるインターネットサービスを !15
  16. 16. まとめ • • ntp  amplify  attack  が流流⾏行行中   ! ⾃自分のサーバも確認してみましょう 「安心・安全・安定・信頼」できるインターネットサービスを !16
  17. 17. One more thing ... OSX  で  vmnet  を  tcpdump  する⽅方法   ! 素直に実⾏行行すると   %  sudo  tcpdump  -‐‑‒i  vmnet8   tcpdump:  vmnet8:  No  such  device  exists   (BIOCSETIF  failed:  Device  not  configured)   ! って⾔言われるので   ! %  sudo  tcpdump  -‐‑‒i  pktap,vmnet8   ! でOK   「安心・安全・安定・信頼」できるインターネットサービスを !17
  18. 18. • Thank  You!   • If  you  have  any  comments,   • please  send  to:   • Mail:  izawa@izawa.org  /  izawa@clwit.co.jp   • Twitter:  @Yukimitsu_̲Izawa 「安心・安全・安定・信頼」できるインターネットサービスを !18
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×