安全牛学习笔记NTP放大攻击
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全牛学习笔记NTP放大攻击相关的知识,希望对你有一定的参考价值。
NTP放大攻击 网络时间协议 - Network Time Protocol - 保证网络设备时间同步 - 电子设备相互干扰导致时钟差异越来越大 - 影响应用正常运行、日志审计不可信 - 服务端口 UDP 123 攻击原理 - NTP服务提monlist (MON_GETLIST) 查询功能 监控NTP服务器的状态 - 客户端查询时,NTP服务器返回最后同步时间的 600 个客户IP 每6个IP个数据包,最多100个数据包(放大约100倍) |
NTP放大攻击 发现NTP服务 - nmap -sU -p123 1.1.1.1 / 127.0.0.1 发现漏洞 - ntpdc -n -c monlist 1.1.1.1 - ntpq -c rv 1.1.1.1 - ntpdc -c sysinfo 192.168.20.5 配置文件 - /etc/ntp.conf restrict -4 default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery |
[email protected]:~$ ifconfig
192.168.1.125
[email protected]:~$ sudo apt-get update
[email protected]:~$ sudo apt-get install ntp
[email protected]:~$ netstat -pantu | grep 123
(Not all processes could be identified, non-wened process info
will not be shown, you would hava to be root to see it all.)
udp 0 0 192.168.1.125:123 0.0.0.0:* -
udp 0 0 127.0.0.1:123 0.0.0.0:* -
udp 0 0 0.0.0.0:123 0.0.0.0:* -
udp6 0 0 fe00::a00:27ff:fe78:123 :::* -
udp6 0 0 ::1:123 :::* -
udp6 0 0 :::123 :::* -
[email protected]:~# nmap -sU -p123 192.168.1.0/24 --open
Startomh Nmap 7.12 (https://nmap.org) at 2016-06-28 06:38 EDT
Nmap scan report for 192.168.1.1
Host is up (0.0021s latency).
PORT STATE SERVICE
123/udp open|filtered ntp
MAC Address: 14:75:90:21:4F:56 (Tp-link Technologies)
Nmap scan report for 192.168.1.115
Host is up (0.0018s latency).
PORT STATE SERVICE
123/udp open|filtered ntp
MAC address: 78:920:9C:03:6F:18 (Intel Corporate)
Nmap scan report for 192.168.1.125
Host is up (0.0018s latency).
PORT STATE SERVICE
123/udp open|filtered ntp
MAC address: 08:00:27:78:23:0D (Oracle VirtualBox virtual NIC)
Nmap done: 256 IP addresses (4 hosts up) scanned in 4.79 seconds
[email protected]:~# nmap -sU -p123 -sv 192.168.1.125
Startomh Nmap 7.12 (https://nmap.org) at 2016-06-28 06:38 EDT
Nmap scan report for 192.168.1.125
Host is up (0.0018s latency).
PORT STATE SERVICE
123/udp open|filtered ntp
MAC address: 08:00:27:78:23:0D (Oracle VirtualBox virtual NIC)
Service detection performed. Please report any incorrect result at https://nmap.org/submit/ .
Nmap done: 1 IP addresses (4 hosts up) scanned in 1.36 seconds
[email protected]:~# ntpdc -n -c monlist 192.168.1.125 //不支持放大攻击
192.168.1.125: time out, nothing received
***Request timed out
[email protected]:~$ sudo vi /etc/ntp.conf
restrict -4 default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
把这两行用#禁用掉!
[email protected]:~$ sudo service ntp
fore-reload restart start status stop try-restart
[email protected]:~$ sudo service ntp stop
* Stopping NTP server ntpd [ OK ]
[email protected]:~$ sudo service ntp start
* Starting NTP server ntpd [ OK ]
[email protected]:~# ntpdc -n -c monlist 192.168.1.125
temote address port local address count m ver rstr avgint lstint
===============================================================================
91.189.89.199 123 192.168.1.125 1 4 4 0 4 4
202.118.1.130 123 192.168.1.125 1 4 3 0 5 5
[email protected]:~# ntpdc -n -c monlist 192.168.1.125
temote address port local address count m ver rstr avgint lstint
===============================================================================
91.189.89.199 123 192.168.1.125 1 4 4 0 29 29
202.118.1.130 123 192.168.1.125 1 4 3 0 30 30
[email protected]:~# ntpdc -n -c monlist 192.168.1.125
temote address port local address count m ver rstr avgint lstint
===============================================================================
91.189.89.199 123 192.168.1.125 1 4 4 0 31 31
202.118.1.130 123 192.168.1.125 1 4 3 0 32 32
[email protected]:~# ntpq -c rv 192.168.1.125 //查询服务器端的配置
associd=0 status=c011 leap_alarm, sync_unspec, 1 event, freq_not_set,
version="ntpd [email protected] Thu Feb 11 18:30:40 UTC 2016 (1)",
processor="x86_64", system="Linux/4.2.0-30-generic", leap=11, stratum=16,
precision=-23, rootdelay=0.000, rootdisp=1.560, refid=INIT,
reftime=00000000.00000000 Thu, Feb 7 2036 1:28:16.00
clock-db1cd43a.f78cda79 Thu, Jun 28 2016 6:47:22.966, peer=0, tc=3,
minc=3, offset=0.000, frequency=0.00., sys_jitter=0.000
clk_jitter=0.000, clk_wander=0.000
[email protected]:~# ntpdc -c sysinfo 192.168.1.125 //查询其他的系统信息
system peer: 0.0.0.0
system peer mode: unspce
leap indicator: 11
stratum: 16
precision: -23
root distance: 0.00000 s
root dispersion: 0.00247 s
reference ID: [73.78.73.84]
reference time: 00000000.00000000 Thu, Feb 7 2036 1:28:16.00
system flags: auth monitor ntp kernel stats
jtter: 0.000000 s
stability: 0.000 ppm
broadcastdelay: 0.000000 s
autdelay: 0.000000 s
NTP放大攻击 NTP攻击对策 - 升级到 ntpd 4.2.7p26 及以上的版本(默认关闭monlist查询) - 手动关闭monlist查询功能 |
该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂
Security+认证为什么是互联网+时代最火爆的认证?
牛妹先给大家介绍一下Security+
Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ;是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作。
通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应用程序、数据和主机安全,访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易,含金量较高,目前已被全球企业和安全专业人士所普遍采纳。
Security+认证如此火爆的原因?
原因一:在所有信息安全认证当中,偏重信息安全技术的认证是空白的, Security+认证正好可以弥补信息安全技术领域的空白 。
目前行业内受认可的信息安全认证主要有CISP和CISSP,但是无论CISP还是CISSP都是偏重信息安全管理的,技术知识讲的宽泛且浅显,考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上,CISP也要求大专学历4年以上工作经验,这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中,无论是找工作还是升职加薪,或是投标时候报人员,认证都是必不可少的,这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍,由于Security+偏重信息安全技术,所以对工作经验没有特别的要求。只要你有IT相关背景,追求进步就可以学习和考试。
原因二: IT运维人员工作与翻身的利器。
在银行、证券、保险、信息通讯等行业,IT运维人员非常多,IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍,死亦写代码”的悲壮,但也有着“锄禾日当午,不如运维苦“的感慨。天天对着电脑和机器,时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识,掌握网络安全实践。职业发展朝着网络安全的方向发展,解决国内信息安全人才的匮乏问题。另外,即使不转型,要做好运维工作,学习安全知识取得安全认证也是必不可少的。
原因三:接地气、国际范儿、考试方便、费用适中!
CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。
在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,相信Security+认证一定会成为最火爆的信息安全认证。
本文出自 “11662938” 博客,请务必保留此出处http://11672938.blog.51cto.com/11662938/1972942
以上是关于安全牛学习笔记NTP放大攻击的主要内容,如果未能解决你的问题,请参考以下文章