Eine neue DDoS-Angriffsvariante, die bald jeden treffen könnte, ist der Missbrauch des Network Time Protocols (NTP), über das Rechner im Internet normalerweise ihre System-Zeit gegen die eines verlässlichen Zeit-Servers abgleichen.
Bei ihren Attacken fragen die Angreifer mit einer gefälschten Absender-Angabe die Liste der letzten Kommunikationspartner (monlist) ab.
Das Ergebnis: Der gefälschte vermeintliche Absender, also das angegriffene System, erhält die Antwort, nach der er nie gefragt hat – und das in hoher Frequenz und nicht nur von einem sondern von tausenden Zeitservern. Das erzeugt dann Paketfluten mit bis zu 100 GBit/s, berichten auf die DDoS-Abwehr spezialisierte Firmen wie Staminus.
Ob Ihr Internetserver empfindlich für die DDoS-Angriffe über NTP ist, können Sie mit folgendem Kommando auf der Shell herausbekommen:
Ntpdc –n –c monlist <IP>
Wird Ihre Anfrage mit einer Adressliste beantwortet, ist Ihr Server offen und könnte auf diese Art angegriffen werden. Erste Hilfe bringt da der Befehl:
disable monitor
Er muss ans Ende der Konfigurationsdatei /etc/ntp.conf angehängt werden. Danach die Datei abspeichern und den Server neu starten.
Weitere Schutzmöglichkeiten finden Sie bei Heise.
