在linux系統(tǒng)中NTP是用來(lái)使計(jì)算機(jī)時(shí)間同步化的一種協(xié)議,它可以使計(jì)算機(jī)對(duì)其服務(wù)器或時(shí)鐘源了,但有網(wǎng)友發(fā)現(xiàn)ntp存在安全問(wèn)題了,下文就來(lái)幫助各位修復(fù)ntp安全漏洞.

CVE-2013-5211漏洞說(shuō)明:

CVE-2013-5211最早公布是2014年1月10日,由于NTP本身不會(huì)驗(yàn)證發(fā)送者的源ip地址,這就類(lèi)似于DNS解析器使用的DRDoS(分布式反射型拒絕服務(wù)攻擊),攻擊者HACK發(fā)送了一個(gè)偽造報(bào)文發(fā)送給NTP服務(wù)器Server A,將數(shù)據(jù)包中的源ip地址改成了受害者Client A的ip地址,NTP服務(wù)器Server A會(huì)響應(yīng)這個(gè)請(qǐng)求,相對(duì)于初始請(qǐng)求,響應(yīng)包發(fā)送的字節(jié)數(shù)是一個(gè)被放大的量,導(dǎo)致受害者Client A被dos攻擊,最高的兩個(gè)消息類(lèi)型:REQ_MON_GETLIST 和REQ_MON_GETLIST_1,通過(guò)高達(dá)3660和5500的一個(gè)因素分別放大原始請(qǐng)求.

解決方案:

放大反射dos攻擊由CVE-2013-5211所致,且這漏洞是與molist功能有關(guān),Ntpd4.2.7p26之前的版本都會(huì)去響應(yīng)NTP中的mode7“monlist”請(qǐng)求,ntpd-4.2.7p26版本后,“monlist”特性已經(jīng)被禁止,取而代之的是“mrulist”特性,使用mode6控制報(bào)文,并且實(shí)現(xiàn)了握手過(guò)程來(lái)阻止對(duì)第三方主機(jī)的放大攻擊.

操作步驟:

echo "disable monitor" >> /etc/ntp.conf

重啟ntp服務(wù),驗(yàn)證,運(yùn)行:

1. # ntpdc
2. ntpdc> monlist 
3. ***Server reports data not found 
4. ntpdc>  --Vevb.com 

此時(shí)monlist已經(jīng)被禁止了,也不會(huì)影響其時(shí)間同步,或者在配置文件中增加以下兩行并重啟ntp服務(wù).

1. restrict default kod nomodify notrap nopeer noquery 
2. restrict -6 default kod nomodify notrap nopeer noquery