NTP reflection attack
Published: 2014/01/14
2013年末に話題に出ていたものですが、状況的には11月末あたりから観測されています。
手法は単純ですね。
で、年末年始にちょっと増えただけだと思っていたのですが、本日(1/14)急増してます。。。
昨日までは大きな偏りはなく広範囲のアドレスで観測されていました。またDNSampと同様に攻撃ではなく利用され得るNTPサーバーを調査するパケットと思われるパケットの方が目立っていました。
1/14の増加分は狭い範囲のアドレスに対して届いていて、それまで数カ国にとどまっていた送信元国も一気に増えました。またそれまでは全く観測されていなかった日本からのパケットもたくさん観測しています。
ボットネットでの攻撃なのか、攻撃ではなく脆弱なNTPサーバー調査を似たような分散システムを使って調べた結果なのか。。。どちらにしろ攻撃扱いにせざるを得ませんが。。
年末の情報に乗り遅れていた人たちが、またいろいろ情報、話題が出たのでみなさん調査やスキャンを行った結果と攻撃が入り乱れている面もあるのかな?
| Country | IP数 |
|---|---|
| China | 123 |
| UnitedStates | 86 |
| Korea | 62 |
| Japan | 34 |
| Taiwan | 25 |
| Germany | 10 |
| France | 9 |
| Canada | 7 |
| UnitedArab | 6 |
| HongKong | 4 |
| RussianFederation | 4 |
| Bulgaria | 3 |
| Ukraine | 3 |
| Netherlands | 2 |
| Romania | 2 |
| Argentina | 1 |
| Egypt | 1 |
| Iceland | 1 |
| Kenya | 1 |
| Slovakia | 1 |
| SouthAfrica | 1 |
| UnitedKingdom | 1 |
| Vietnam | 1 |
それ以前は、このくらいでかなり少なかったです。
| Country | IP数 |
|---|---|
| UnitedStates | 4 |
| Germany | 2 |
| Netherlands | 1 |
| Taiwan | 1 |
DNSampと同様にサーバー機よりもNTPサーバー機能が動いている様々なネットワーク機器の方が多くまた盲点になりやすく危ないでしょう。
実際のリフレクション攻撃に利用されないようにntpdのバージョンアップとntp.confの適、外部からアクセスできないようにするフィルタリング等の適切な設定を。
by jyake