cNotes 検索 一覧 カテゴリ

NTP reflection attack

Published: 2014/01/14

2013年末に話題に出ていたものですが、状況的には11月末あたりから観測されています。

手法は単純ですね。

で、年末年始にちょっと増えただけだと思っていたのですが、本日(1/14)急増してます。。。

昨日までは大きな偏りはなく広範囲のアドレスで観測されていました。またDNSampと同様に攻撃ではなく利用され得るNTPサーバーを調査するパケットと思われるパケットの方が目立っていました。

1/14の増加分は狭い範囲のアドレスに対して届いていて、それまで数カ国にとどまっていた送信元国も一気に増えました。またそれまでは全く観測されていなかった日本からのパケットもたくさん観測しています。

ボットネットでの攻撃なのか、攻撃ではなく脆弱なNTPサーバー調査を似たような分散システムを使って調べた結果なのか。。。どちらにしろ攻撃扱いにせざるを得ませんが。。

年末の情報に乗り遅れていた人たちが、またいろいろ情報、話題が出たのでみなさん調査やスキャンを行った結果と攻撃が入り乱れている面もあるのかな?

CountryIP数
China123
UnitedStates86
Korea62
Japan34
Taiwan25
Germany10
France9
Canada7
UnitedArab6
HongKong4
RussianFederation4
Bulgaria3
Ukraine3
Netherlands2
Romania2
Argentina1
Egypt1
Iceland1
Kenya1
Slovakia1
SouthAfrica1
UnitedKingdom1
Vietnam1

それ以前は、このくらいでかなり少なかったです。

CountryIP数
UnitedStates4
Germany2
Netherlands1
Taiwan1

DNSampと同様にサーバー機よりもNTPサーバー機能が動いている様々なネットワーク機器の方が多くまた盲点になりやすく危ないでしょう。

実際のリフレクション攻撃に利用されないようにntpdのバージョンアップとntp.confの適、外部からアクセスできないようにするフィルタリング等の適切な設定を。

[カテゴリ:NTP観察日記]

by jyake