ntpd の monlist 機能を悪用した DDoS 攻撃に関して、1ヶ月ほど前の 1月 15日付けで JPCERT/CC から注意喚起が発表されていましたが、昨日、2月 12日付けで、さくらインターネットさんからも、本件についてユーザー向けのアナウンスが出されました。
で、残念なことに JPCERT/CC からの注意喚起の際は気がついていなかったんですが、今回のさくらインターネットさんからのアナウンスで本件を認識したのと、この Blog も現在、さくらインターネットさんの さくら VPS を利用して運用していますので、念のため設定を確認してみましたというお話。
さくら VPS のデフォルト設定で特に問題はなし
結論から言うと、私が契約しているプラン (SSD 2G / CentOS 6.4) のデフォルト設定で、特に今回の件に関連して特別な対策はいらない設定になっていました。
参考までにさくら VPS を利用していて、心配だという方向けに ntpd のバージョン、及び設定確認方法と、念のため恐らく通常の Web サーバ運用では必要となることはない、monlist 機能を無効にする設定を下記に。
ntpd のバージョン確認
JPCERT/CC の注意喚起内でも紹介されていますが、下記のコマンドでバージョンの確認が可能です。
ntpq -c rv
バージョンは version="ntpd 4.2.4p8" のように表示されます。
とはいえ今回の件では、現在安定版として提供されている最新 4.2.6 系の全バージョンが影響を受けるとのことですので、バージョンを確認しても多分あまり意味はないですね......
バージョンアップによって今回の影響を回避したければ、開発版の 4.2.7p26 以降を入れるしかないらしく、それが無理な場合は設定側での対応が必要とのこと。
ntpd の設定を確認
ntpd の設定を確認するには、下記のコマンドで、設定ファイル (ntp.conf) を開きます。
vi /etc/ntp.conf
で、設定を見てみますが、下記のような感じで、デフォルト設定でも
restrict default ignore restrict -6 default ignore restrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery ...中略... restrict 127.0.0.1 restrict -6 ::1 ...中略... server ntp1.sakura.ad.jp
という感じで、ローカルホスト以外からの参照はすべて拒否する設定になっていますので、通常は大丈夫かと思います。
ちなみにこの辺の、OS の初期設定情報については下記のページにもまとめられています。
monlist 機能を無効に
念のため、monlist 機能を無効にする場合は、先ほどの設定ファイル、ntp.conf の最後に、下記の 1行を書き足します。
disable monitor
保存したら、
/etc/init.d/ntpd restart
で ntpd を再起動すれば monlist 機能が無効になります。
ntpd の monlist 機能を悪用した DDoS 攻撃とは?
今回問題になっている、monlist 機能を悪用した DDoS 攻撃については下記の記事がわかりやすく解説していますので参考まで。
