一樣是在 Zite 上看到的,有人提到對 NTP server 的放大攻擊:「Re: Public ntp-server and reflection-attacks」。
攻擊者送一個封包,就會產生約 100 個封包的回應... (於是就被放大了)
This means, the attacker sends _one_ packet and gets _100_ packets to his target.
像是這樣的指令就會傳回很多資訊:(剛好也學到 ntpdc 這個指令...)
gslin@colo-p [~] [04:18/W4] ntpdc -c monlist remote address port local address count m ver code avgint lstint =============================================================================== localhost 36284 ::1 443425 7 2 0 27 0 sun.stu.edu.tw 123 112.121.80.241 7891 4 4 0 1027 197 clock.stdtime.gov.tw 123 112.121.80.241 7821 4 4 0 1024 838 59-124-196-84.HINET-IP 123 112.121.80.241 7856 4 4 0 1024 920
在信件裡,建議的修正方式是:
restrict default noquery nomodify notrap nopeer restrict -6 default noquery nomodify notrap nopeer
這已經是 Debian 上 ntp 套件的預設值了 (預設值多了 kod)
CentOS 6.5也是