Amigos/as,
Recentemente recebi um email da CERT com o seguinte título “Alerta: servidores NTP possivelmente utilizados em ataques DDoS”.
O email relatava que o servidor NTP rodando em minha rede estava permitindo o uso do comando monlist e sofrendo ataques que, possivelmente, comprometiam o desempenho do meu link de internet.
Um servidor NTP que aceita comandos ‘monlist’ fornece uma lista dos últimos 600 hosts que utilizaram o serviço (realizaram conexões a este servidor). Para um atacante, esta pode ser tanto uma ferramenta útil de pesquisa quanto ser utilizada para ataques de negação de serviço de amplificação, uma vez que uma query pequena pode gerar megabytes de tráfego.
Sou o responsável pela infraestrutura dos meus clientes e, para o controle da internet, utilizo o sistema FreeBSD. Neste sistema, encontrei o NTP habilitado no rc.conf.
Edite o arquivo /etc/ntp.conf e acrescente:
disable monitor
Pronto! Agora o seu servidor NTP rejeitará o comando monlist.
