オリジナル予想問題8 問31

NTPを使った増幅型のDDoS攻撃に対して,NTPサーバが踏み台にされることを防止する対策として,適切なものはどれか。

  • NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする。
  • NTPサーバの設定変更によって,自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
  • ファイアウォールの設定変更によって,NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
  • ファイアウォールの設定変更によって,自ネットワーク外からの,NTP以外のUDPサービスへのアクセスを拒否する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
NTP(Network Time Protocol)は、ネットワーク経由でシステム時刻の同期を行うプロトコルです。

NTPを使用したDDoS攻撃は、以下の手順で特定のサイトに対して大量のトラフィックを発生させます。
  1. 送信元IPアドレスを詐称したリクエストパケットを公開NTPサーバに対して大量に送り付ける。リクエストパケットにはNTPサーバが過去にやり取りした最大600件のアドレスを返す"monlist"コマンドを指定する。
  2. 公開NTPサーバは大量のアドレスが記述されたレスポンスパケットを、詐称された送信元IPアドレス宛に送信する。
  3. 大量のレスポンスパケットが送信されたサイトではトラフィックが大幅に増加しサービス不能に陥る。
攻撃の流れとしてはDNS amp攻撃などと同様ですが、NTPの"monlist"の仕様上、リクエストが200バイト程度に対してレスポンスがその100倍以上にもなることもあるためパケットの増幅率が高いのが特徴です。
31.gif
対処としては、NTPサーバプログラム(ntpd)を問題が修正されたバージョンにアップデートすることが一番ですが、その適用が難しい場合はネットワーク内の非公開NTPサーバであれば外部からのサービス要求を拒否する、公開NTPサーバであれば"monlist"機能を無効にするなどの対策をとることになります。

したがって適切な防止策は「ア」です。
  • 正しい。
  • 時刻の同期が行えなくなってしまうため不適切です。
  • ブロードキャストアドレスを拒否しても、NTPサーバへのアクセスは変わらずに可能なので踏み台として利用される可能性があります。
  • DDoSの手段としてNTPサービスが悪用されているので、外部からのNTPサービスの利用を要求するアクセスを拒否する必要があります。

出典


Pagetop