Zurzeit richten sich DDoS-Attacken vor allem gegen Online-Spiele-Server. Allerdings arbeiten die Angreifer häufig nicht mehr wie früher mit offenen DNS-Servern. Eine neue Angriffsvariante, die bald jeden treffen könnte ist der Missbrauch des Network Time Protocol s(NTP), über das Computer im Internet normalerweise ihre System-Zeit gegen die eines verlässlichen Zeit-Servers abgleichen.
Bei ihren Attacken fragen die Angreifer mit einer gefälschten Absender-Angabe die Liste der letzten Kommunikationspartner (monlist) ab.
Das Resultat: Der gefälschte vermeintliche Absender, also das angegriffene System, erhält die Antwort, nach der er nie gefragt hat – und das in hoher Frequenz und nicht nur von einem sondern von tausenden Zeitservern. Das erzeugt dann Paketfluten mit bis zu 100 GBit/s, berichten auf die DDoS-Abwehr spezialisierte Firmen wie Staminus.
Das NTP-Protokoll wird jedoch missbraucht, um regelrechte Datenfluten auf missliebige Ziele zu richten. Administratoren von NTP-Servern sollten also zügig handeln, um ihre Dienste gegen solche Angriffe abzusichern.
Die Angreifer können sich also nicht nur hinter den gefälschten IP-Adressen verstecken, sie erreichen sogar noch einen Verstärkungseffekt: Eine kurze Anfrage nach einer Liste mit dem Kommando monlist erzeugt eine bis zu 200 mal längere Liste als Antwort, abhängig davon, wie voll die Serverlisten sind. Dadurch kann schon ein einzelner Angreifer so manches System blockieren. Und wenn dann mehrere Computer oder sogar ein ganzes Botnet angreifen – Gute Nacht!
Ob Ihr Server empfindlich für die DDoS-Angriffe über NTP ist, können Sie mit folgendem Kommando herausbekommen:
Ntpdc –n –c monlist <IP>
Wird Ihre Anfrage mit einer Adressliste beantwortet, dann ist Ihr Server offen und könnte auf diese Weise angegriffen werden. Erste Hilfe bringt der Befehl:
disable monitor
Er muss ans Ende der Konfigurationsdatei /etc/ntp.conf angehängt werden. Danach die Datei speichern und den Server neu starten.
Eine aufwändigere, aber bessere Alternative empfiehlt Heise:
„Alternativ kann man den Server natürlich auch dicht machen und nur noch autorisierten Clients die Abfrage der Zeit gestatten, wie es Team CYMRU gut beschreibt. Die Entwickler der Zeit-Server-Software haben den Sachverhalt auch als sicherheitsrelevant eingestuft und in einer aktualisierten Version die problematische Abfrage durch eine bessere ersetzt, die Interaktion erfordert. Wer kann, sollte also baldmöglichst auf die neue Version ntp 4.2.7p26 aktualisieren. Wer nicht genau weiß, welche Server in seinem Bereich unter Umständen auf NTP-Anfragen antworten, kann dies für ganze Netzbereiche beim OpenNTP-Projekt abfragen.“
