Indescribable Place
ntp를 이용한 ddos공격 본문
관리중인 테스트서버가 갑자기 수만건의 udp 패킷을 쏘기 시작했다고 해서 조사해본 결과 ntpd의 헛점을 이용한 ddos공격인듯 함.
관련기사 : NTP 증폭 공격, 최신 DDoS 공격 트렌드가 되다
자세한 내용은 링크에서 확인하기로 하고, 내가 작업한 내용을 아래에 간단히 적어둠.
(사실 수많은 삽질을 했으나 그 부분은 다 생략하고... ㅋㅋ)
먼저 보안업체에서 연락온 ip주소를 tcpdump로 조회해본다.
# tcpdump -n host 62.129.240.50
15:20:46.588136 IP 62.129.240.50.80 > 서버.123: NTPv2, Reserved, length 8
15:20:46.588173 IP 서버.123 > 62.129.240.50.80: NTPv2, Reserved, length 440
15:20:46.588183 IP 서버.123 > 62.129.240.50.80: NTPv2, Reserved, length 80
15:20:46.625715 IP 62.129.240.50.80 > 서버.123: NTPv2, Reserved, length 8
15:20:46.625751 IP 서버.123 > 62.129.240.50.80: NTPv2, Reserved, length 440
15:20:46.625762 IP 서버.123 > 62.129.240.50.80: NTPv2, Reserved, length 80
이런식으로 그 주소에서 123번 포트로 뭔가 요청이 들어오면 서버에서 두번씩 밖으로 패킷을 쏴주는걸 알수 있다. 저게 1초에도 여러건씩 발생... 그리하여 ntp.conf 파일에서 다음의 두줄을 추가
restrict default ignore -> 추가
disable monitor -> 추가
server 0.pool.ntp.net -> 원래 있던 항목
ntpd를 최근버전으로 교체하는게 당장 무리라서 설정파일을 수정함... 그리고 ntpd를 다시 실행하고 나서 tcpdump를 다시 해보면,
# tcpdump -n host 62.129.240.50
15:21:28.767043 IP 62.129.240.50.80 > 서버.123: NTPv2, Reserved, length 8
15:21:28.842406 IP 62.129.240.50.80 > 서버.123: NTPv2, Reserved, length 8
15:21:28.915842 IP 62.129.240.50.80 > 서버.123: NTPv2, Reserved, length 8
15:21:28.993020 IP 62.129.240.50.80 > 서버.123: NTPv2, Reserved, length 8
이런식으로 서버에 요청은 들어오지만 밖으로 쏘는작업은 없어진것을 알수 있다.