Атака с помощью сервера времени NTP на Вашем сервере.

13 января 2014 года US-CERT выпустило предупреждение о новом способе DDOS атак, при помощи уязвимости в старых версиях протокола NTP. Данный протокол используется для синхронизации времени.

Атака основана на опции monlist, которая включена по умолчанию на старых версия протокола. Этот запрос получает список последних 600 клиентов воспользовавшихся сервисом. Вследствие поддельного адреса отправителя список отсылается жертве. Поскольку объем ответа многократно больше запроса, злоумышленнику удается усилить объем трафика направленного на жертву. Помимо увеличения трафика на сервере так же увеличивается, многократно нагрузка.

Поскольку ответами от сервера являются обычные данные, которые вполне могли запрашиватся у обычных серверов времени, данный тип атак особенно сложно «разоблачить». Решение является отключение возможности мониторинга серверов или обновление версии.

На платформе unix c помощью данной команды можно проверить наличие уязвимости:

# ntpdc -c monlist 127.0.0.1
remote address port local address count m ver code avgint lstint
===============================================================================
localhost 51569 127.0.0.1 1 7 2 0 0 0
x.x.x.x 4641 10.100.0.254 261324 3 3 180 30 2
.....................................................................................................

откллючаем функцию мониторинга

# vi /etc/ntp.conf

в конце файла добавиляем

disable monitor

Выполняем перезагрузку сервера
команда в зависимости от ОС. Обычно reboot

/etc/rc.d/ntpd restart

Проверить правильность выполненных действий можно так:

# ntpdc -c monlist 127.0.0.1

***Server reports data not found