「ntpd」の「monlist機能」からの DDoS攻撃対策について

「ntpd」の「monlist機能」からの DDoS攻撃対策についてメモしました。
システム内の時間を正しい時間に同期させる
NTPサーバー
のプログラムntpd
の一部バージョンに
NTPサーバーの状態を確認する機能monlist
の脆弱性が見つかったそうです。
これはmonlist機能
がNTPサーバーへのリクエストに
大きなデータが返されることを利用し
送信元のIPアドレス
を偽装して第三者のwebサーバーなどに
大量のデータを送りつけることができるそうです。
今後もこのような攻撃が続くと想定されています。
脆弱性の対象
NTP Project の情報によりますと、以下のバージョンが影響を受けます。
「ntpd 4.2.7p26」以前のバージョン
安定版の 4.2.6.x系はすべて影響を受けます。
バージョンの確認方法
コマンドラインからサーバーへ接続し以下のコマンドを入力します。
terminal$ ntpd -v
下記の場合バージョンは4.2.6系
です。
対策が必要になります。
terminal$ ntpd - NTP daemon program - Ver. 4.2.6p5
下記の結果であればntpd
はインストールされていません。
bash-bash: ntpd: command not found
対策について
簡単な対策としては2通りあります。
- 対策1 修正済みバージョンへアップデート
- 対策2 monlist機能を無効化
対策1 修正済みバージョンへアップデート
修正済みのバージョンは、以下のようですです(2014/2/10)。
ntpd 4.2.7p421(開発版)
下記からダウンロードできます。
http://www.ntp.org/downloads.html
yum
になかったのでntpd 4.2.7p421(開発版)
を
サイトからインストールしてみます。
※ntpd 4.2.7p421は開発版です。インストールは自己責任でお願いいたします。
手順
1.コマンドラインから「tmp」フォルダに移動します。
terminal$ cd /tmp
2.「tmp」フォルダにntpd 4.2.7p421(開発版)をダウンロードします。
terminal$ wget http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-dev/ntp-dev-4.2.7p421.tar.gz
3.ダウンロードしたファイルを解凍します。
terminal$ tar xzfv ntp-dev-4.2.7p421.tar.gz
4.解凍したフォルダに移動します。
terminal$ cd ntp-dev-4.2.7p421
5.「configure」します。
terminal$ ./configure
6.「make」します。
terminal$ make
7.インストールします。(ルート権限)
terminal$ sudo make install
8.一旦終了します。
terminal$ exit
9.再度ログインしバージョンを確認してみます。
terminal$ ntpd -v
/usr/local/bin/ntpd: illegal option -- v
ntpd - NTP daemon program - Ver. 4.2.7p421
10.とりあえず再起動してみました。
terminal$ sudo service ntpd restart
11.設定などは「etc/ntp.conf」から変更できます。
terminal$ sudo vi /etc/ntp.conf
対策2 monlist機能を無効化
2つ目の対策として「monlist機能を無効にする設定」を行います。
手順
1.コマンドラインから設定ファイルを編集します。
terminal$ sudo vi /ect/ntp.conf
2.「/etc/ntp.conf」ファイルに下記を追加します。
terminal$ disable monitor
3.「ntp」を再起動します。
terminal$ sudo service ntpd restart
以上になります。
参考文献
- article
Vitest カバレッジ技術の全貌:閾値設定・除外ルール・レポート可視化
- article
gpt-oss 技術ロードマップ 2025:機能進化と対応エコシステムの見取り図
- article
【徹底理解】GPT-5 のマルチモーダル活用最前線:テキスト・画像・音声・動画の融合ポイント
- article
【完全版】Vite ライブラリモード徹底ガイド:npm 配布のための設計と落とし穴
- article
【解決策】TypeScript TS2307「Cannot find module…」が出る本当の原因と最短復旧手順
- article
Emotion の Server API で本格 SSR を実現
- blog
iPhone 17シリーズの発表!全モデルiPhone 16から進化したポイントを見やすく整理
- blog
Googleストアから訂正案内!Pixel 10ポイント有効期限「1年」表示は誤りだった
- blog
【2025年8月】Googleストア「ストアポイント」は1年表記はミス?2年ルールとの整合性を検証
- blog
Googleストアの注文キャンセルはなぜ起きる?Pixel 10購入前に知るべき注意点
- blog
Pixcel 10シリーズの発表!全モデル Pixcel 9 から進化したポイントを見やすく整理
- blog
フロントエンドエンジニアの成長戦略:コーチングで最速スキルアップする方法
- review
今の自分に満足していますか?『持たざる者の逆襲 まだ何者でもない君へ』溝口勇児
- review
ついに語られた業界の裏側!『フジテレビの正体』堀江貴文が描くテレビ局の本当の姿
- review
愛する勇気を持てば人生が変わる!『幸せになる勇気』岸見一郎・古賀史健のアドラー実践編で真の幸福を手に入れる
- review
週末を変えれば年収も変わる!『世界の一流は「休日」に何をしているのか』越川慎司の一流週末メソッド
- review
新しい自分に会いに行こう!『自分の変え方』村岡大樹の認知科学コーチングで人生リセット
- review
科学革命から AI 時代へ!『サピエンス全史 下巻』ユヴァル・ノア・ハラリが予見する人類の未来