「NTPリフレクション攻撃」とは?仕組みをわかりやすく解説

セキュリティ

「NTPリフレクション攻撃」とは、「NTP」という仕組みを悪用した「DoS攻撃」の1つです。
(DoS攻撃がわからない人は、下記に追記したから読んでくださいね。)

「NTP」というのは、ネットワークに接続されたコンピュータたちの時計をあわせる仕組みのことです。
特に何もしていないのにパソコンの時計がいつでも正確なのは、NTPのおかげなんですね。

さて、そんなNTPですが
「とあるコマンド」を使用すると、すごーく長い応答が返ってくる機能(?)が存在します。
1回のコマンド仕様で、最大600件のデータが返ってくるんです。
そんなコマンドを何100回も実行されたらどうなるか・・・未対策のサーバーではひとたまりもないのは、なんとなく想像がつくと思います。

「NTPリフレクション攻撃」がはじめて観測されたのは、2014年欧州でした。
いままに類をみない大規模のDoS攻撃だったため、いろんなところで注意喚起がなされました。

ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起↑JPCERT/CCでも注意喚起がなされていますね。
(ちなみにJPCERT/CCというのは、インターネットの世界で起こった不正行為の情報をまとめたりしてるスゴイ組織のことです。)

注意喚起後、NTPリフレクション攻撃対策として「とあるコマンド」を無効にするという処置がなされました。
しかしその後も別のコマンドで同様の攻撃をしてくる輩があらわれたりして、いろいろごちゃごちゃしましたが、今ではなんとか落ち着いたようです。(適当)

ついでに覚えよう!「DoS攻撃」って何?

DoS攻撃というのは、サーバーに大量のデータを一気に送りつけてサービスを利用不可にする攻撃のことです。
サーバー管理者としても、サービス利用者としても、大迷惑な攻撃です。
普段利用しているサービスがあるとき突然重くなったり、接続不可になったりすることはありませんか?もしかしたらそれは、DoS攻撃によってサーバーに負荷がかけられてダウンしてしまったからかもしれません。

DoS攻撃は、専用のソフトさえあれば簡単に行うことができます。
たとえば「メールを10000000000000通一気に送信する」というようなプログラムを実行した場合、DoS攻撃に該当するので、サーバー管理者から電話がかかってくることがあります。ほとんどの大手サービスはDoS攻撃に対応できるような作りになっているので、この程度の攻撃じゃサーバーを落とすことはできないですけどね。

ちなみに上記のような攻撃を「メールボム」と呼びます。大昔に流行った手法ですが、今はすっかりなくなりました。


Category
9WEB