Disattivare il monitoraggio NTP

Per server 1&1 IONOS con Linux

In questo articolo ti mostriamo come disabilitare il monitoraggio NTP sul tuo server. Disattivando il monitoraggio NTP, puoi prevenire l'uso improprio di questo servizio per un attacco Distributed Reflected Denial of Service (DRDoS).

Che cos'è l'NTP?

Il "Network Time Protocol" è un servizio sulla porta UDP 123 che si occupa della sincronizzazione temporale tra client e server. Il monitoraggio NTP favorisce gli attacchi DRDoS.

Il server NTP protocolla tutte le richieste di sincronizzazione temporale. Questo protocollo può essere aperto dall'esterno con il comando dell'NTP monolist.

Gli aggressori utilizzano questa funzione per generare una risposta con una piccola richiesta. La risposta è fino a 200 volte più grande della richiesta stessa. Nel pacchetto richiedente, l'IP di origine viene sostituito dall'IP del server da attaccare. Poiché questa funzione può quindi essere facilmente utilizzata per gli attacchi DRDoS, il monitoraggio NTP dovrebbe essere disattivato, se possibile.

I sistemi Windows non sono interessati da questo problema, poiché la funzione "monlist" non è integrata nel server NTP di Microsoft; pertanto, gli operatori di un server Windows non devono necessariamente disattivare il monitoraggio NTP.

Verificare se il monitoraggio NTP è attivo

Utilizza il seguente comando per verificare se il monitoraggio è attivo sul server e se è quindi vulnerabile ad un attacco DRDoS:

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
***Server reports data not found

Nell'esempio di cui sopra, il monitoraggio è già disattivato, il che significa che non sono necessari ulteriori interventi.

Se il monitoraggio è attivo, il risultato assomiglia a questo:

root@s12345678:/# ntpdc -n -c monlist 127.0.0.1
remote address port local address count m ver rstr avgint lstint
===============================================================================
78.47.xxx.x 123 87.106.132.xxx 10089 4 4 1d0 976 357
2001:a60::xxx:2 123 2001:8d8:xxx:xxxx::xx:91ef 10095 4 4 1d0 975 731
178.63.xxx.xxx 123 87.106.132.xxx 10082 4 4 1d0 976 888

Per evitare che il server venga utilizzato in modo improprio per questi tipi di attacchi, è necessario disattivare il monitoraggio NTP.

Disattivare il monitoraggio NTP

In fondo al file /etc/ntp.conf, aggiungi l'applicazione disable monitor. Successivamente riavvia il servizio NTP con il seguente comando:

/etc/init.d/ntp restart 

Il monitoraggio è ora disattivato.