下記を参考にご利用中のルーターのNTPサーバー機能の停止、運用しているサーバーのNTP停止、NTP設定の変更、ntpdのバージョンアップ等の対策をお願いいたします。
| ルーターのNTPサーバー機能の停止(NTPサーバー機能が内蔵されているルーターを利用している方) |
市販されているブロードバンドルーターの一部にNTPサーバー機能が搭載されております。
この機能がONになつていると攻撃対象となる可能性がありますので、この機能を停止してください。
設定方法につきましては、マニュアルまたは各ルーターのメーカー様にお問い合わせください。
>>各メーカー別サポート窓口一覧
NTPサーバーの同期が不要な方は停止または削除を行ってください。
| 例)$ sudo /etc/init.d/ntpd stop |
NTPサーバーの同期が必要な方は、下記2ついずれかの対策をお願いします。
1.ntpd 4.2.8へのバージョンアップ
4.2.6系は全て攻撃対象となります。
現在動作しているntpdのバージョンは以下のコマンドで確認できます。
2.monlist機能を無効にし、問い合わせを制限する
ntp.conf(デフォルトでは/etc/ntp.conf)でmonlist機能を無効にし、問い合わせの制限を行ってください。
なお、適用するには再起動が必要です。
#問い合わせ制限を規定値とする(IPv4用)
restrict default kod nomodify notrap nopeer noquery
#問い合わせ制限を規定値とする(IPv6用)
restrict -6 default kod nomodify notrap nopeer noquery
#自分自身からの問い合わせを全て許可(IPv4用)
restrict 127.0.0.1
#自分自身からの問い合わせを全て許可(IPv6用)
restrict -6 ::1
#LANからの時刻問い合わせにのみ応答する
restrict 192.168.0.0 mask 255.255.255.0 noquery nomodify nopeer notrust notrap
#時刻を参照する上位NTPサーバーからのNTP通信を限定する場合
restrict 210.xxx.xxx.x noquery nomodify
#時刻問い合わせ先(日本JST)
server -4 ntp.nict.jp iburst
server -4 ntp.jst.mfeed.ad.jp iburst
#NTP DDoS攻撃対策(monlist機能を無効)
disable monitor
|
対策・設定完了後、DNS/NTP/SNMP/UPnPリフレクション診断ツールでチェックを行ってください。
>>DNS/NTP/SNMP/UPnPリフレクション診断ツール