ネットワークスペシャリスト 試験情報＆徹底解説

NTP(Network Time Protocol)は、本来はネットワーク経由でシステム時刻の同期を行うプロトコルですが、外部からのリクエストを受け付ける公開サーバが存在すること、コネクションレス型のUDPで攻撃元の詐称が容易であることから、DDoS攻撃の踏み台に利用されてしまうことがあります。

NTPの仕組みを使用したDDoS攻撃は、次の手順で特定のサイトに対して大量のトラフィックを発生させます。

1. 送信元IPアドレスを詐称したリクエストパケットを、公開NTPサーバに対して大量に送り付ける。リクエストパケットにはNTPサーバが過去にやり取りした最大600件のアドレスを返す"monlist"コマンドを指定する。
2. 公開NTPサーバは大量のアドレスが記述されたレスポンスパケットを、詐称された送信元IPアドレス宛に送信する。
3. 大量のレスポンスパケットが送信されたサイトではトラフィックが大幅に増加し、サービス不能に陥る。

攻撃の流れとしてはDNS amp攻撃などと同様ですが、NTPの"monlist"の仕様上、リクエストが200バイト程度に対してレスポンスがその100倍以上にもなることもあるためパケットの増幅率が高いのが特徴です。対処としては、NTPサーバプログラム(ntpd)を問題が修正されたバージョンにアップデートすることが一番ですが、その適用が難しい場合はネットワーク内の非公開NTPサーバであれば外部からのサービス要求を拒否する、公開NTPサーバであれば"monlist"機能を無効にするなどの対策をとることになります。

したがって適切な防止策は「ア」です。

• 正しい。
• 時刻の同期が行えなくなってしまうため不適切です。
• ブロードキャストアドレスを拒否しても、NTPサーバへのアクセスは変わらずに可能なので踏み台として利用される可能性があります。
• DDoSの手段としてNTPサービスが悪用されているので、外部からのNTPサービスの利用を要求するアクセスを拒否する必要があります。