よくあるお問い合わせ

質問
NTPリフレクション攻撃の対策について
お問い合わせ分類
設定・マニュアル・トラブル
対象のサービス
ZOOT NEXT for フレッツ光
ZOOT NEXT for フレッツADSL
ZOOT for フレッツADSL

答え

下記を参考にご利用中のルーターのNTPサーバー機能の停止、運用しているサーバーのNTP停止、NTP設定の変更、ntpdのバージョンアップ等の対策をお願いいたします。

ルーターのNTPサーバー機能の停止(NTPサーバー機能が内蔵されているルーターを利用している方)

市販されているブロードバンドルーターの一部にNTPサーバー機能が搭載されております。
この機能がONになつていると攻撃対象となる可能性がありますので、この機能を停止してください。
設定方法につきましては、マニュアルまたは各ルーターのメーカー様にお問い合わせください。
>>各メーカー別サポート窓口一覧

NTPサーバーの対策(サーバーを運用している方)

NTPサーバーの同期が不要な方は停止または削除を行ってください。

例)$ sudo /etc/init.d/ntpd stop

NTPサーバーの同期が必要な方は、下記2ついずれかの対策をお願いします。

1.ntpd 4.2.8へのバージョンアップ

4.2.6系は全て攻撃対象となります。
現在動作しているntpdのバージョンは以下のコマンドで確認できます。

ntpq -c rv

2.monlist機能を無効にし、問い合わせを制限する

ntp.conf(デフォルトでは/etc/ntp.conf)でmonlist機能を無効にし、問い合わせの制限を行ってください。
なお、適用するには再起動が必要です。

#問い合わせ制限を規定値とする(IPv4用)
restrict default kod nomodify notrap nopeer noquery

#問い合わせ制限を規定値とする(IPv6用)
restrict -6 default kod nomodify notrap nopeer noquery

#自分自身からの問い合わせを全て許可(IPv4用)
restrict 127.0.0.1

#自分自身からの問い合わせを全て許可(IPv6用)
restrict -6 ::1

#LANからの時刻問い合わせにのみ応答する
restrict 192.168.0.0 mask 255.255.255.0 noquery nomodify nopeer notrust notrap

#時刻を参照する上位NTPサーバーからのNTP通信を限定する場合
restrict 210.xxx.xxx.x noquery nomodify

#時刻問い合わせ先(日本JST)
server -4 ntp.nict.jp iburst
server -4 ntp.jst.mfeed.ad.jp iburst

#NTP DDoS攻撃対策(monlist機能を無効)
disable monitor



診断ツールでチェック

対策・設定完了後、DNS/NTP/SNMP/UPnPリフレクション診断ツールでチェックを行ってください。

>>DNS/NTP/SNMP/UPnPリフレクション診断ツール

 

この回答は役に立ちましたか?評価をお願いします。

メンバーIDまたはメールアドレス:
パスワード: