NTP 증폭 공격: 두 판 사이의 차이
IT위키
(새 문서: ;CVE-2013-5211 NTP(123/udp)를 이용한 UDP Flooding 서비스 거부 공격 == 공격 원리 == * 해당 ntp 서버에 최근 ntp질의에 응답을 했던 목록을 보여주는 m...) |
편집 요약 없음 |
||
| (다른 사용자 한 명의 중간 판 2개는 보이지 않습니다) | |||
| 1번째 줄: | 1번째 줄: | ||
;NTP(123/udp)를 이용한 UDP Flooding 서비스 거부 공격 | |||
;CVE-2013-5211 | ;CVE-2013-5211 | ||
== 공격 원리 == | == 공격 원리 == | ||
| 7번째 줄: | 8번째 줄: | ||
* 위와 같은 요청을, 요청 주소를 희생자의 주소로 위조하여 다량의 서버에 보내면 희생자는 증폭된 응답을 받아 정상적인 서비스가 어려워진다. | * 위와 같은 요청을, 요청 주소를 희생자의 주소로 위조하여 다량의 서버에 보내면 희생자는 증폭된 응답을 받아 정상적인 서비스가 어려워진다. | ||
== 취약점 확인 == | |||
* 아래 명령어에서 아래와 같이 Timeout이 발생하면 안전한 것이다. 목록이 출력되면 취약하다. | |||
<pre class='shell'> | |||
# ntpdc -n -c monlist 192.168.1.2 | |||
192.168.1.2: timed out, nothing received | |||
***Request timed out | |||
</pre> | |||
== 대응 == | == 대응 == | ||
| 14번째 줄: | 22번째 줄: | ||
restrict default noquery | restrict default noquery | ||
</pre> | </pre> | ||
[[분류:보안]] | |||
[[분류:보안 취약점]] | |||
[[분류:보안 공격]] | |||
[[분류:정보보안기사]] | |||
2019년 6월 14일 (금) 21:11 기준 최신판
- NTP(123/udp)를 이용한 UDP Flooding 서비스 거부 공격
- CVE-2013-5211
공격 원리[편집 | 원본 편집]
- 해당 ntp 서버에 최근 ntp질의에 응답을 했던 목록을 보여주는 monlist 기능을 이용한다.
- monlist를 요청 할 경우 600개의 응답이 보여지며 약 4,000 byte 이상의 응답 패킷을 생성한다.
- 위와 같은 요청을, 요청 주소를 희생자의 주소로 위조하여 다량의 서버에 보내면 희생자는 증폭된 응답을 받아 정상적인 서비스가 어려워진다.
취약점 확인[편집 | 원본 편집]
- 아래 명령어에서 아래와 같이 Timeout이 발생하면 안전한 것이다. 목록이 출력되면 취약하다.
# ntpdc -n -c monlist 192.168.1.2 192.168.1.2: timed out, nothing received ***Request timed out
대응[편집 | 원본 편집]
- monlist 기능이 빠진 최신 ntp로 업그레이드 한다.
- ntp.conf 에서 monlist 응답을 하지 않도록 noquery를 설정한다.
restrict default noquery
