情報セキュリティマネジメント試験情報＆徹底解説

NTP(Network Time Protocol)は、ネットワーク経由でシステム時刻の同期を行うプロトコルです。

NTPを使用したDDoS攻撃は、以下の手順で特定のサイトに対して大量のトラフィックを発生させます。

1. 送信元IPアドレスを詐称したリクエストパケットを公開NTPサーバに対して大量に送り付ける。リクエストパケットにはNTPサーバが過去にやり取りした最大600件のアドレスを返す"monlist"コマンドを指定する。
2. 公開NTPサーバは大量のアドレスが記述されたレスポンスパケットを、詐称された送信元IPアドレス宛に送信する。
3. 大量のレスポンスパケットが送信されたサイトではトラフィックが大幅に増加しサービス不能に陥る。

攻撃の流れとしてはDNS amp攻撃などと同様ですが、NTPの"monlist"の仕様上、リクエストが200バイト程度に対してレスポンスがその100倍以上にもなることもあるためパケットの増幅率が高いのが特徴です。対処としては、NTPサーバプログラム(ntpd)を問題が修正されたバージョンにアップデートすることが一番ですが、その適用が難しい場合はネットワーク内の非公開NTPサーバであれば外部からのサービス要求を拒否する、公開NTPサーバであれば"monlist"機能を無効にするなどの対策をとることになります。

したがって適切な防止策は「ア」です。

• 正しい。
• 時刻の同期が行えなくなってしまうため不適切です。
• ブロードキャストアドレスを拒否しても、NTPサーバへのアクセスは変わらずに可能なので踏み台として利用される可能性があります。
• DDoSの手段としてNTPサービスが悪用されているので、外部からのNTPサービスの利用を要求するアクセスを拒否する必要があります。