[ 정보보안기사 / 정보보안산업기사 ]
NTP 증폭 공격
1. NTP 증폭 공격 (DDOS공격)
NTP 서버를 악용하여 분산 서비스 거부 공격(DDOS)를 발생시키는 취약점
NTP 서버 명령어 중 ntp질의에 대한 모든 대답 목록을 보여주는 monlist 기능을 사용
공격자는 희생자의 IP로 출발지 IP를 위조하여 monlist 명령어를 다수의 NTP 서버로 요청한다.
다수의 NTP 서버는 희생자의 IP로 대량의 monlist 응답 패킷을 보내어 DDOS공격을 가하는것.
NTP ?
컴퓨터 시스템간의 시간동기화 프로토콜
monlist ?
NTP 서버의 기능 중 하나로 최근 접속한 시스템 목록을 요청하여 출력하는 기능
2. NTP 증폭 공격 그림화
3. NTP 증폭 공격 대응방안
3-1. NTP 최신버전 업그레이드
4.2.7 이상 버전이라면 monlist 기능이 제거된다.
3-2. monlist 기능제거
/etc/ntp.conf 파일 'disable monitor' 추가
3-3. nptdc -c monlist "서버ip"
취약점이 존재하는지 확인하는 명령어로 해당서버가 monlist 명령어를 허용하는지 알아본다.
문제)
보안관제 시 NTP 증폭 공격이 포착됐다. 각각의 공격 대응방안에 대해 물음에 의미를 설명하시오.
1) ntpd --version
2) disable monlist
3) ntpdc -c monlist 1.1.1.1
4) iptables -A OUTPUT -p udp --sprot 123 -j DROP
답)
1. NTP 서버 버전을 확인하고 4.2.7 이하 버전이라면 업그레이드 한다.
2. ntpd.conf 파일 내에 disable monlist 추가하여 monlist 기능을 해체한다.
3. 해당서버가 monlist 취약점이 있는지 확인한다.
4. iptable 툴을 사용하여 123번포트(NTP) 패킷을 차단한다.
#정보보안기사
#정보보안기사실기
#승큐리티
#NTP증폭공격
#2018년정보보안기사12회실기기출문제
'[자격증] 정보보안기사 > ↘ 정보보안 실무' 카테고리의 다른 글
| [ 정보보안기사 / 정보보안산업기사 ] 개인정보의 기술적·관리적 보호조치 기준 (0) | 2020.06.17 |
|---|---|
| [ 정보보안기사 / 정보보안산업기사 ] ARP 스푸핑 (0) | 2020.06.16 |
| [ 정보보안기사 / 정보보안산업기사 ] 정보공유분석센터 ( ISAC ) (0) | 2020.06.16 |
| [ 정보보안기사 / 정보보안산업기사 ] Memcached (0) | 2020.06.15 |
| [ 정보보안기사 / 정보보안산업기사 ] login.defs (0) | 2020.06.15 |
댓글