Este informe identifica servidores NTP que tienen el potencial de ser utilizados en ataques de amplificación por parte de delincuentes que desean realizar ataques de denegación de servicio.
Un ataque de amplificación NTP es un ataque volumétrico de denegación de servicio distribuido (DDoS) por reflexión en el que un atacante aprovecha la funcionalidad de un servidor NTP (protocolo de tiempo de red) para sobrecargar una red o servidor específico con una cantidad amplificada de tráfico UDP, lo que impide al tráfico normal acceder al servidor y a su infraestructura asociada.
El comando de monitor NTP es una consulta de Modo 7 para MON_GETLIST_1. Para probar manualmente si un sistema es vulnerable a esto, puede usar el comando:
Puede obtener más información sobre el informe en el tutorial Informe del monitor NTP .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público , que también explica ejemplos de casos de uso.
Este reporte no indica indicios de compromiso o ataques desde las IPs en cuestión, sino sólo representa la presencia de un equipo o servicio potencialmente vulnerable y/o expuesto.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_ntpmonitor, scan6_ntpmonitor
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | La dirección IP del dispositivo en cuestión. |
| protocol | Protocolo en el que se produjo la respuesta NTP (UDP) |
| port | Puerto del que provino la respuesta NTP |
| hostname | Nombre DNS inverso del dispositivo en cuestión |
| packets | El número total de paquetes recibidos del dispositivo en cuestión |
| size | La cantidad total de datos (en bytes) recibidos del dispositivo en cuestión |
| asn | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad en la que reside el dispositivo en cuestión |
| amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","packets","size","asn","geo","region","city","naics","sic","sector","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,123,node01.example.com,100,,64512,ZZ,Region,City,0,0,,3666.67
"2010-02-10 00:00:01",192.168.0.2,udp,123,node02.example.com,2,,64512,ZZ,Region,City,0,0,"Communications, Service Provider, and Hosting Service",61.33
"2010-02-10 00:00:02",192.168.0.3,udp,123,node03.example.com,100,,64512,ZZ,Region,City,0,0,,3666.67