2014년 초부터 이슈가 되어 왔던 NTP DDoS 공격에 대해, Juniper 장비 중 Junos OS를 사용하는 장비에서 NTP DDoS 공격에 대한 해결 기술하고자 합니다.

 

먼저 NTP DDoS 공격에 대해 다시 한번 살펴보겠습니다.

NTP DDoS 공격이란...

- NTP의 monlist 기능을 이용하여 대량의 네트워크 트래픽을 유발시켜 분산 서비스 공격을 일으키는 취약점 이며, monlist는 NTP 서버에서 사용하는 명령어로 NTP 서버에 최근 접속한 600개의 IP 정보를 전송하는 명령어 입니다. 따라서 공격 대상이 되는 IP가 monlist를 요청하는 것처럼 꾸며 공격 대상에게 monlist를 전송하여 네트워크 대역폭을 고갈 시키는 방법입니다.

 

Juniper 장비 중 Junos OS를 사용하는 장비에서 NTP DDoS 공격을 받았을 경우 나타나는 이슈 로 , 공격을 받을 경우 장비의 NTP Process가 CPU및 Memory 자원의 점유율을 높여, 결국에는 장비를 먹통으로 만들게 됩니다. 공격 받을 당시의 Log를 확인 해 보면 장비의 NTP Process가 NTP 서버로부터 오는 message에 대해 많은 Buffer를 할당하게 되며, 이로 인해 장비의 CPU와 Memory의 점유율을 차지하여 장비에 부하를 주게 됩니다.

아래 캡쳐한 이미지는 실제 NTP DDoS 공격을 받은 것으로 의심가는 SRX 장비의 로그 입니다.

 

 

 

 

NTP DDoS 공격에 대해 Junos OS를 사용하는 장비에서 대처 할 수 있는 해결 방법 입니다.

1. NTP 기능 Disable

- NTP Process를 비활성화 함으로써, NTP DDoS 공격에 영향을 받지 않게 됩니다.

 

2. Firmware Upgrade

- NTP DDoS 공격에 대해 패치된 Version으로 Firmware를 Upgrade 하는 방법 입니다. Version 정보는 아래에 첨부한 링크를 참조하여 주시기 바랍니다.

 

3. Firewall Filter를 설정하여 NTP 주소를 허용 및 차단

- Firewall Filter 설정을 통하여 신뢰하는 NTP 서버의 IP 주소만 허용하고, 허용된 IP주소 외에는 차단하는 방법 입니다. 설정 방법은 아래에 첨부한 링크를 참조하여 주시기 바랍니다.

 

참고 링크 : http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613

 

이상으로 Junos OS를 사용하는 장비에서 NTP DDoS 공격에 대한 이슈 및 해결 방법에 대해 알아보았습니다.

감사합니다.

 

 

Posted by 로버무트