Pour les serveurs avec Linux

Dans cet article, nous vous montrons comment désactiver le monitoring NTP sur votre serveur.

En désactivant la surveillance NTP, vous pouvez empêcher l'utilisation abusive de ce service pour une attaque Distributed-Reflected-Denial-of-Service (attaque DRDoS).

 

Qu'est-ce que NTP ?

"Network Time Protocol" est un service sur le port UDP 123 qui permet de la synchronisation temporelle entre le client et le serveur.

La surveillance NTP favorise les attaques DRDoS

Le serveur NTP enregistre toutes les demandes de synchronisation temporelle. Ce protocole peut être récupéré de l'extérieur à l'aide de la commande NTP monlist.

Les attaquants l'utilisent pour générer une réponse avec une petite requête. La réponse est jusqu'à 200 fois plus grande que la requête elle-même. Dans le paquet demandeur, l'IP source est remplacée par l'IP du serveur à attaquer.

Comme cette fonction peut donc facilement être utilisée à mauvais escient pour des attaques DRDoS, la surveillance NTP devrait, dans la mesure du possible, être désactivée.

Les systèmes Windows n'en sont pas affectés, puisque la fonction "monlist" n'est pas intégrée dans le serveur NTP de Microsoft ; les opérateurs d'un serveur Windows n'ont donc aucune mesure à prendre.

Vérifier si la surveillance NTP est active

Utilisez la commande suivante pour vérifier si la surveillance est active sur votre serveur et si une attaque correspondante pourrait donc avoir lieu :

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
***Server reports data not found

Dans l'exemple ci-dessus, la surveillance est déjà désactivée, c'est-à-dire qu'aucune autre mesure n'est nécessaire.

Lorsque la surveillance est active, le résultat ressemble à ce qui suit :

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
remote address port local address count m ver rstr avgint lstint
===============================================================================
78.47.xxx.x 123 87.106.132.xxx 10089 4 4 1d0 976 357
2001:a60::xxx:2 123 2001:8d8:xxx:xxxx::xx:91ef 10095 4 4 1d0 975 731
178.63.xxx.xxx 123 87.106.132.xxx 10082 4 4 1d0 976 888

Pour éviter que votre serveur soit utilisé à mauvais escient, vous devez désactiver la surveillance NTP.

Désactiver la surveillance NTP

  • Ajoutez l'instruction disable monitor la fin du fichier /etc/ntp.conf.
  • Redémarrez le service NTP :

    /etc/init.d/ntp restart

Le monitoring NTP est désormais désactivé.