姜维博客
欢迎来访~

The remote NTP server responds to mode 6 queries.

对内网网络设备进行了一次漏洞扫描,主要是Cisco交换机。报了一个级别为Medium的漏洞,The remote NTP server responds to mode 6 queries。

漏洞介绍:https://ntpscan.shadowserver.org/

我的简单理解就是 设备响应了mode 6查询。设备响应这些查询,有可能用于NTP放大攻击,未经身份验证的远程攻击者可能会通过一个特别设计的mode 6查询进行攻击。

 

修复建议

方法一:添加NTP ACL,仅允许设备与指定的NTP Server通信。

Example:  

Switch(config)# access-list 80 permit 192.168.1.100

Switch(config)# ntp access-group peer 80

配置访问列表80,允许IP为92.168.1.100的报文,该设备仅允许与指定的NTP Server同步其时钟。其余默认拒绝。

 

方法二:通过配置查询间隔时间,来杜绝攻击者的快速频繁攻击。不过仅有较新的IOS版本才支持。

Switch(config)# ntp allow mode control ?

<3-15> Rate limiting delay (s)

这里可以选择3-15秒的时间。我使用的配置是:

Switch(config)# ntp allow mode control 10

 

两种方法配置完后需检查NTP服务是否正常。

Switch# show ntp status 

Clock is synchronized, stratum 3, reference is 192.168.1.100

nominal freq is 119.2092 Hz, actual freq is 119.2091 Hz, precision is 2**18

reference time is E0A99956.1A73BF6D (11:07:02.103 CN Tue Jun 11 2019)

clock offset is 0.0770 msec, root delay is 44.66 msec

root dispersion is 58.06 msec, peer dispersion is 0.03 msec

 

修复验证

由于NTP服务器使用的是Linux系统,故可以通过ntpq -c rv [IP] 来验证mode 6查询,有结果输出的代表开启了mode 6查询,没有输出代表关闭了mode 6查询。

我这里的NTP Client为思科交换机,IP:192.168.111.93。

方法一验证:

登陆192.168.1.100,输入命令:ntpq -c rv 192.168.111.93

[root@ntpserver1 ~]# ntpq -c rv 192.168.111.93

associd=0 status=0600 leap_none, sync_ntp, no events, unspecified,

system="cisco", leap=00, stratum=3, rootdelay=44.600,

rootdispersion=42.560, peer=14389, refid=192.168.4.72,

reftime=e0a9954b.f082b4b5 Tue, Jun 11 2019 10:49:47.939, poll=6,

clock=e0a99564.4e748c26 Tue, Jun 11 2019 10:50:12.306, phase=0.068,

freq=2.55, error=0.05

可以看到,可以正常查询。

 

登陆192.168.1.126(网络中的其它服务器),输入命令:ntpq -c rv 192.168.111.93

[root@xxxserver1 ~]# ntpq -c rv 192.168.111.93

192.168.111.93: timed out, nothing received

***Request timed out

可以看到,无法查询。

方法一验证成功,ACL应用生效。有效杜绝了其它未授权设备通过mode 6 查询攻击网络设备。

 

方法二验证:

交换机配置:ntp allow mode control 10

登陆192.168.1.100或者其它服务器,输入命令:ntpq -c rv 192.168.111.93

[root@xxxserver1 ~]# ntpq -c rv 192.168.111.93

associd=0 status=0600 leap_none, sync_ntp, no events, unspecified,

system="cisco", leap=00, stratum=3, rootdelay=44.620,

rootdispersion=51.410, peer=14389, refid=192.168.4.72,

reftime=e0a9978b.f1b3add5 Tue, Jun 11 2019 10:59:23.944, poll=6,

clock=e0a997a6.535a90dd Tue, Jun 11 2019 10:59:50.325, phase=0.132,

freq=2.56, error=0.20

[root@xxxserver1 ~]# ntpq -c rv 192.168.111.93

192.168.111.93: timed out, nothing received

***Request timed out

两次查询间隔小于10秒。可以看到,连续两次查询,第一次正常查询,第二次失败。10秒后再次查询,又会正常。

方法二也验证成功,虽没有使用ACL,但是有效拒绝了其它未授权设备通过mode 6 查询快速频繁攻击网络设备。

 

 

 

可附来源转载:姜维博客 » The remote NTP server responds to mode 6 queries.

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

待添加阿里云优惠