DDoS-angreb udnytter fejl i NTP

Artiklen blev oprindeligt publiceret den 14/1/2014

Angribere udnytter en sårbarhed i programmer til tidssynkronisering til overbelastningsangreb. En rettelse fjerner sårbarheden.

Siden december har der på verdensplan været et stigende antal DDoS-angreb (Distributed Denial of Service), som udnytter NTP-servere (Network Time Protocol). Computere bruger NTP til at stille uret.

Angrebet foregår ved, at angriberen sender en forespørgsel med forfalsket afsenderadresse til NTP-serveren. Serveren sender svaret til den forfalskede adresse, som derved bliver overbelastet.

Forespørgslen beder om adresserne på de sidste 600 computere, NTP-serveren har kommunikeret med. Derfor er svaret langt mere omfattende end forespørgslen.

Man kan beskytte sin NTP-server mod at blive udnyttet til angreb ved at opdatere til en ny version eller ændre på konfigurationen.

Anbefaling
Opdater til nyeste version af NTP eller sæt konfigurationen til ikke at tillade forespørgsler af typen "monlist", "loopinfo" og "iostats".

Links