Este informe identifica servidores NTP que tienen el potencial de ser utilizados en ataques de amplificación por parte de delincuentes que desean realizar ataques de denegación de servicio.
El comando de versión NTP es una consulta de Modo 6 para READVAR. Si bien no es tan crítico como la consulta de Modo 7 para MONLIST, las consultas para READVAR normalmente proporcionarán una amplificación de alrededor de 30x.
Para probar manualmente si un sistema es vulnerable a esto, puede usar el comando:
- Las instrucciones para restringir READVAR para hosts Linux se pueden encontrar aquí .
- Las instrucciones para restringir READVAR para equipos de Cisco se pueden encontrar aquí .
Puede obtener más información sobre el informe en el tutorial Informe de versión de NTP .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público , que también explica ejemplos de casos de uso.
Este reporte no indica indicios de compromiso o ataques desde las IPs en cuestión, sino sólo representa la presencia de un equipo o servicio potencialmente vulnerable y/o expuesto.
Para obtener más información sobrelos esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_ntp, scan6_ntp
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | La dirección IP del dispositivo en cuestión. |
protocol | Protocolo en el que se produjo la respuesta NTP (UDP) |
port | Puerto del que provino la respuesta NTP |
hostname | Nombre DNS inverso del dispositivo en cuestión |
tag | Establecer en versión ntp |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad en la que reside el dispositivo en cuestión |
version | Versión de software NTP y tiempo de compilación |
clk_wander | Desvío de frecuencia de reloj (PPM) |
clock | Fecha y hora del día |
error | error de frecuencia |
frequency | Compensación de frecuencia (PPM) relativa al reloj de hardware |
jitter | inestabilidad del reloj |
leap | Indicador de advertencia de salto (0-3) |
mintc | Constante de tiempo mínima (log2 s) (3-10) |
noise | Ruido de «fase blanca», también conocido como jitter |
offset | Compensación combinada del servidor en relación con este host |
peer | Un número de identificación del par en uso |
phase | Compensación combinada del servidor en relación con este host |
poll | Mensajes de encuesta enviados (para asociación con un reloj de referencia) |
precision | Precisión (log2 s) |
processor | Plataforma y versión de hardware |
refid | ID de referencia o código de beso |
reftime | Tiempo de referencia |
rootdelay | Retraso total de ida y vuelta al reloj de referencia principal |
rootdispersion | Dispersión total al reloj de referencia principal |
stability | Desviación de frecuencia media de PPM |
state | El modo actual de funcionamiento de NTP, donde 1 es activo simétrico, 2 es pasivo simétrico, 3 es cliente, 4 es servidor y 5 es difusión. |
stratum | El estrato del servidor par (1-15) — cualquier cosa mayor que 1 es una referencia secundaria |
system | Sistema operativo y versión |
tai | Desplazamiento(s) TAI-UTC |
tc | Constante de tiempo y exponente de sondeo (log2 s) (3-17) |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
sector | Sector industrial, si se conoce |
response_size | Tamaño de respuesta en bytes |
amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","version","clk_wander","clock","error","frequency","jitter","leap","mintc","noise","offset","peer","phase","poll","precision","processor","refid","reftime","rootdelay","rootdispersion","stability","state","stratum","system","tai","tc","naics","sic","sector","response_size","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,123,node01.example.com,ntpversion,64512,ZZ,Region,City,4,,0xE6A6B7DE.F83F2FEE,,,,0,3,,,25088,,,-20,unknown,149.156.4.11,0xE6A6B11D.6161CF9F,,,,,3,UNIX,,10,0,0,"Communications, Service Provider, and Hosting Service",288,24.00
"2010-02-10 00:00:01",192.168.0.2,udp,123,node02.example.com,ntpversion,64512,ZZ,Region,City,"ntpd 4.2.8p15@1.3728-o Sat Mar 13 13:08:59 UTC 2021 (1)",0.011,0xe6a6b7e1.51c7e37f,,20.409,0.148,0,3,,0.038545,55686,,,-20,x86_64,194.146.251.100,0xe6a6b2d1.023eefb6,4.871,36.184,,,2,Linux/5.10.23-LinuxBox,,10,0,0,,404,33.67
"2010-02-10 00:00:02",192.168.0.3,udp,123,node03.example.com,ntpversion,64512,ZZ,Region,City,"ntpd 4.2.8p15@1.3728-o Thu Jan 13 01:14:50 UTC 2022 (1)",0.03,0xe6a6b7e1.4e071839,,21.093,1.577,0,3,,-2.114058,38264,,,-21,arm64,176.223.135.73,0xe6a6b6a9.910bb2da,31.168,22.173,,,3,FreeBSD/12.3-STABLE,,9,0,0,"Communications, Service Provider, and Hosting Service",400,33.33