Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

NTPを使ったDDoSについて

1,956 views

Published on

Published in: Technology
  • Be the first to comment

NTPを使ったDDoSについて

  1. 1. NTPを使ったDDoSについて 株式会社クルウィット 井澤 志充 2014/2/15 (Sat) Kanazawa.rb #18 @ITビシネスプラザ武蔵 「安心・安全・安定・信頼」できるインターネットサービスを
  2. 2. じこしょうかい • 井澤  志充  (いざわゆきみつ) • (株)クルウィットの取締役  兼  北北陸陸⽀支社⻑⾧長   博⼠士(情報科学) • • ネットワークの委託研究・⾃自社サービス開発など   「安心・安全・安定・信頼」できるインターネットサービスを !2
  3. 3. NTPとは • • • • NTP  (Network  Time  Protocol)   ! ネットワーク越しに時刻を同期させるためのプロトコル   ! UDPをつかっている   ! WindowsもOSXもNTPのクライアントを標準搭載 「安心・安全・安定・信頼」できるインターネットサービスを !3
  4. 4. ntpd • • • • NTPを喋ってシステムの時刻を同期させるためのプログ ラム   ! サーバ側にもクライアント側にもなれる   ! 時刻の精度度に応じて、サーバ間はツリー構造のネット ワークを構成している   ! 4.2.7p26以前のバージョンは脆弱性をもっている 「安心・安全・安定・信頼」できるインターネットサービスを !4
  5. 5. いわゆるサーバ以外にも • • • build-‐‑‒in環境でも動いている   ! ルータ、L3スイッチ、ブロードバンドルーターなど   ! 世界中には700万台以上の脆弱なntpdがインターネット に接続されているらしい 「安心・安全・安定・信頼」できるインターネットサービスを !5
  6. 6. ntpdの脆弱性をつかった攻撃事案 • 2013/12   • ゲーミングプラットフォーム(steam,  origin,battle.net) をターゲットとした攻撃が発⽣生   • ntpdの脆弱性を利利⽤用   • ⼀一部のサービスは、⼀一時的に停⽌止した 「安心・安全・安定・信頼」できるインターネットサービスを !6
  7. 7. 最近の事案 • • • • 2014/2/10   フランス国内をターゲットとした⼤大規模なDDoSが発⽣生   ヨーロッパ圏内で325Gbpsの帯域を埋めた   ! →国内外のISP・ベンダなどが中⼼心となって対応および 注意喚起を実施中 「安心・安全・安定・信頼」できるインターネットサービスを !7
  8. 8. どんなことがおこるの? • NTPには、ntpdの動作状況確認のためのコマンド:   monlist   が実装されている。   ! ntpdが通信した直近の最⼤大600ホストのアドレスを応答 する。   ! ntpdc    -‐‑‒c    monlist    サーバのIPアドレス   で実⾏行行できる。 • • • • • 「安心・安全・安定・信頼」できるインターネットサービスを !8
  9. 9. 実際にやってみた 「安心・安全・安定・信頼」できるインターネットサービスを !9
  10. 10. 拡大 問い合わせ 応答 「安心・安全・安定・信頼」できるインターネットサービスを !10
  11. 11. 攻撃の効果 • • リクエストのパケットサイズは  234  byte   応答パケットサイズは  482  byte     • 最⼤大で100パケット  =  48,200  byte   ! • 増幅効果は、おどろきの206倍!! 「安心・安全・安定・信頼」できるインターネットサービスを !11
  12. 12. UDPはソースアドレスを改ざん可能 • • 先ほどの応答パケットをターゲットに送りつける   ! つまり、問い合わせパケットのソースアドレスを、ター ゲットのものに改ざんする 「安心・安全・安定・信頼」できるインターネットサービスを !12
  13. 13. みなさんのサーバ大丈夫ですか? • • • • 確認⽅方法   サーバ内で以下のコマンドを実⾏行行   ! ntpq  -‐‑‒c  rv   ! 4.2.7p26以下だったら対象のntpdです。 「安心・安全・安定・信頼」できるインターネットサービスを !13
  14. 14. 対処方法 以下、おすすめ順   ! 1.    123/udp  を閉じる   ! 2.    ntpdを最新にする   ! 3.    ntp.conf  に  disable  monitor  を追加する 「安心・安全・安定・信頼」できるインターネットサービスを !14
  15. 15. 確認方法  %  ntpdc    -‐‑‒c    monlist    サーバのIPアドレス   ! remote  address                    port  local  address            count  m  ver  code  avgint    lstint   ===============================================   localhost                                  30441          127.0.0.1                          4  7  2                0              47              0   ! ↑お返事が返ってきちゃったらダメです。   「安心・安全・安定・信頼」できるインターネットサービスを !15
  16. 16. まとめ • • ntp  amplify  attack  が流流⾏行行中   ! ⾃自分のサーバも確認してみましょう 「安心・安全・安定・信頼」できるインターネットサービスを !16
  17. 17. One more thing ... OSX  で  vmnet  を  tcpdump  する⽅方法   ! 素直に実⾏行行すると   %  sudo  tcpdump  -‐‑‒i  vmnet8   tcpdump:  vmnet8:  No  such  device  exists   (BIOCSETIF  failed:  Device  not  configured)   ! って⾔言われるので   ! %  sudo  tcpdump  -‐‑‒i  pktap,vmnet8   ! でOK   「安心・安全・安定・信頼」できるインターネットサービスを !17
  18. 18. • Thank  You!   • If  you  have  any  comments,   • please  send  to:   • Mail:  izawa@izawa.org  /  izawa@clwit.co.jp   • Twitter:  @Yukimitsu_̲Izawa 「安心・安全・安定・信頼」できるインターネットサービスを !18

×