NTP-Monitoring deaktivieren

Für Server mit Linux

In diesem Artikel erfahren Sie, wie Sie das NTP-Monitoring auf Ihrem Server deaktivieren.

Mit der Abschaltung des NTP-Monitorings können Sie einen Missbrauch dieses Dienstes für einen Distributed-Reflected-Denial-of-Service-Angriff (DRDoS-Angriff) unterbinden.

 

Was ist NTP?

„Network Time Protocol“ ist ein Dienst auf UDP Port 123, der für die Zeitsynchronisation zwischen Client und Server zuständig ist.

 

Das NTP-Monitoring begünstigt DRDoS-Angriffe

Der NTP-Server protokolliert alle Anfragen zur Zeitsynchronisation. Dieses Protokoll kann mit dem NTP-Befehl monlist von extern abgerufen werden.

Angreifer nutzen dies aus, um durch eine Anfrage mit geringer Größe eine Antwort zu generieren. Diese ist bis zu 200 Mal größer, als die Anfrage selbst. Dabei wird im anfragenden Paket, die Quell-IP durch die IP des anzugreifenden Servers ersetzt. Da diese Funktion somit leicht für DRDoS-Angriffe missbraucht werden kann, sollte das NTP-Monitoring nach Möglichkeit deaktiviert werden.

Windows-Systeme sind hiervon übrigends nicht betroffen, da in Microsofts NTP-Server die Funktion „monlist“ gar nicht integriert ist; Betreiber eins Windows-Servers brauchen brauchen hier daher nicht aktiv zu werden.

So prüfen Sie, ob das NTP-Monitoring aktiv ist

Ob auf Ihrem Server das Monitorung aktiv und dieser somit anfällig für eine entsprechende Attacke ist, prüfen Sie mit folgendem Befehl:

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
***Server reports data not found

In oben stehendem Beispiel ist das Monitoring bereits deaktiviert, d.h. hier wären keine weiteren Schritte notwendig.

Bei aktivem Monitoring sieht das Ergebnis in etwa wie folgt aus:

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
remote address port local address count m ver rstr avgint lstint
===============================================================================
78.47.xxx.x 123 87.106.132.xxx 10089 4 4 1d0 976 357
2001:a60::xxx:2 123 2001:8d8:xxx:xxxx::xx:91ef 10095 4 4 1d0 975 731
178.63.xxx.xxx 123 87.106.132.xxx 10082 4 4 1d0 976 888

Um auszuschließen, dass Ihr Server für diese Art von Angriffen missbraucht werden kann, sollten Sie das NTP-Monitoring unbedingt deaktivieren.

So deaktivieren Sie das NTP-Monitoring

Schritt 1

Fügen Sie am Ende der Datei /etc/ntp.conf die Anweidung disable monitor hinzu.

Schritt 2

Starten Sie den NTP-Service neu:

/etc/init.d/ntp restart 

Das Monitoring ist nun deaktiviert.