安全牛学习笔记NTP放大攻击

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全牛学习笔记NTP放大攻击相关的知识,希望对你有一定的参考价值。

NTP放大攻击                                                

网络时间协议                                               

    - Network Time Protocol                                 

    - 保证网络设备时间同步                                  

    - 电子设备相互干扰导致时钟差异越来越大                  

    - 影响应用正常运行、日志审计不可信                      

    - 服务端口 UDP 123                                      

攻击原理                                                   

    - NTP服务提monlist (MON_GETLIST) 查询功能               

      监控NTP服务器的状态                                  

    - 客户端查询时,NTP服务器返回最后同步时间的 600 个客户IP

      每6个IP个数据包,最多100个数据包(放大约100倍)

NTP放大攻击                                                

发现NTP服务                                                

    - nmap -sU -p123 1.1.1.1 / 127.0.0.1                    

发现漏洞                                                   

    - ntpdc -n -c monlist 1.1.1.1                           

    - ntpq -c rv 1.1.1.1                                    

    - ntpdc -c sysinfo 192.168.20.5                         

配置文件                                                   

    - /etc/ntp.conf                                        

      restrict -4 default kod nomodify notrap nopeer noquery

      restrict -6 default kod nomodify notrap nopeer noquery

[email protected]:~$ ifconfig

192.168.1.125

[email protected]:~$ sudo apt-get update

[email protected]:~$ sudo apt-get install ntp

[email protected]:~$ netstat -pantu | grep 123

(Not all processes could be identified, non-wened process info

 will not be shown, you would hava to be root to see it all.)

udp        0      0 192.168.1.125:123       0.0.0.0:*                            -

udp        0      0 127.0.0.1:123           0.0.0.0:*                            -

udp        0      0 0.0.0.0:123             0.0.0.0:*                            -

udp6       0      0 fe00::a00:27ff:fe78:123 :::*                                 -

udp6       0      0 ::1:123                 :::*                                 -

udp6       0      0 :::123                  :::*                                 -

[email protected]:~# nmap -sU -p123 192.168.1.0/24 --open

Startomh Nmap 7.12 (https://nmap.org) at 2016-06-28 06:38 EDT

Nmap scan report for 192.168.1.1

Host is up (0.0021s latency).

PORT    STATE         SERVICE

123/udp open|filtered ntp

MAC Address: 14:75:90:21:4F:56 (Tp-link Technologies)

Nmap scan report for 192.168.1.115

Host is up (0.0018s latency).

PORT    STATE         SERVICE

123/udp open|filtered ntp

MAC address: 78:920:9C:03:6F:18 (Intel Corporate)

Nmap scan report for 192.168.1.125

Host is up (0.0018s latency).

PORT    STATE         SERVICE

123/udp open|filtered ntp

MAC address: 08:00:27:78:23:0D (Oracle VirtualBox virtual NIC)

Nmap done: 256 IP addresses (4 hosts up) scanned in 4.79 seconds

[email protected]:~# nmap -sU -p123 -sv 192.168.1.125

Startomh Nmap 7.12 (https://nmap.org) at 2016-06-28 06:38 EDT

Nmap scan report for 192.168.1.125

Host is up (0.0018s latency).

PORT    STATE         SERVICE

123/udp open|filtered ntp

MAC address: 08:00:27:78:23:0D (Oracle VirtualBox virtual NIC)

Service detection performed. Please report any incorrect result at https://nmap.org/submit/ .

Nmap done: 1 IP addresses (4 hosts up) scanned in 1.36 seconds

[email protected]:~# ntpdc -n -c monlist 192.168.1.125    //不支持放大攻击

192.168.1.125: time out, nothing received

***Request timed out

[email protected]:~$ sudo vi /etc/ntp.conf

restrict -4 default kod nomodify notrap nopeer noquery

restrict -6 default kod nomodify notrap nopeer noquery

把这两行用#禁用掉!

[email protected]:~$ sudo service ntp

fore-reload  restart         start      status         stop          try-restart

[email protected]:~$ sudo service ntp stop

 * Stopping NTP server ntpd                                                          [ OK ]

[email protected]:~$ sudo service ntp start

 * Starting NTP server ntpd                                                          [ OK ]

[email protected]:~# ntpdc -n -c monlist 192.168.1.125

temote address          port local address      count m ver rstr avgint  lstint

===============================================================================

91.189.89.199           123 192.168.1.125            1 4 4     0      4       4

202.118.1.130           123 192.168.1.125            1 4 3     0      5       5

[email protected]:~# ntpdc -n -c monlist 192.168.1.125

temote address          port local address      count m ver rstr avgint  lstint

===============================================================================

91.189.89.199           123 192.168.1.125            1 4 4     0     29      29

202.118.1.130           123 192.168.1.125            1 4 3     0     30      30

[email protected]:~# ntpdc -n -c monlist 192.168.1.125

temote address          port local address      count m ver rstr avgint  lstint

===============================================================================

91.189.89.199           123 192.168.1.125            1 4 4     0     31      31

202.118.1.130           123 192.168.1.125            1 4 3     0     32      32

[email protected]:~# ntpq -c rv 192.168.1.125    //查询服务器端的配置

associd=0 status=c011 leap_alarm, sync_unspec, 1 event, freq_not_set,

version="ntpd [email protected] Thu Feb 11 18:30:40 UTC 2016 (1)",

processor="x86_64", system="Linux/4.2.0-30-generic", leap=11, stratum=16,

precision=-23, rootdelay=0.000, rootdisp=1.560, refid=INIT,

reftime=00000000.00000000 Thu, Feb  7 2036  1:28:16.00

clock-db1cd43a.f78cda79  Thu, Jun 28 2016  6:47:22.966, peer=0, tc=3,

minc=3, offset=0.000, frequency=0.00., sys_jitter=0.000

clk_jitter=0.000, clk_wander=0.000

[email protected]:~# ntpdc -c sysinfo 192.168.1.125     //查询其他的系统信息

system peer:          0.0.0.0

system peer mode:     unspce

leap indicator:       11

stratum:              16

precision:            -23

root distance:        0.00000 s

root dispersion:      0.00247 s

reference ID:         [73.78.73.84]

reference time:       00000000.00000000 Thu, Feb  7 2036  1:28:16.00

system flags:         auth monitor ntp kernel stats

jtter:                0.000000 s

stability:            0.000 ppm

broadcastdelay:       0.000000 s

autdelay:             0.000000 s

NTP放大攻击                                                

NTP攻击对策                                                

    - 升级到 ntpd 4.2.7p26 及以上的版本(默认关闭monlist查询)

    - 手动关闭monlist查询功能

该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证?


      牛妹先给大家介绍一下Security+


        Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ;是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应用程序、数据和主机安全,访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易,含金量较高,目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因?  

       原因一:在所有信息安全认证当中,偏重信息安全技术的认证是空白的, Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP,但是无论CISP还是CISSP都是偏重信息安全管理的,技术知识讲的宽泛且浅显,考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上,CISP也要求大专学历4年以上工作经验,这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中,无论是找工作还是升职加薪,或是投标时候报人员,认证都是必不可少的,这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍,由于Security+偏重信息安全技术,所以对工作经验没有特别的要求。只要你有IT相关背景,追求进步就可以学习和考试。

       原因二: IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业,IT运维人员非常多,IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍,死亦写代码”的悲壮,但也有着“锄禾日当午,不如运维苦“的感慨。天天对着电脑和机器,时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识,掌握网络安全实践。职业发展朝着网络安全的方向发展,解决国内信息安全人才的匮乏问题。另外,即使不转型,要做好运维工作,学习安全知识取得安全认证也是必不可少的。

        原因三:接地气、国际范儿、考试方便、费用适中!

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,相信Security+认证一定会成为最火爆的信息安全认证。

本文出自 “11662938” 博客,请务必保留此出处http://11672938.blog.51cto.com/11662938/1972942

以上是关于安全牛学习笔记NTP放大攻击的主要内容,如果未能解决你的问题,请参考以下文章

安全牛学习笔记SNMP放大攻击

安全牛学习笔记HTTPS攻击

安全牛学习笔记WPA攻击

安全牛学习笔记Smurf攻击Sockstress

安全牛学习笔记SSLTLS中间人攻击

安全牛学习笔记Mac地址绑定攻击