该路由器版本为H3C Comware Software, Version 7.1.075, Release 7655P05。
(0)
最佳答案
设备在漏洞检查中涉及“Network Time Protocol (NTP) Mode 6 Scanner”
该漏洞是NTP本身存在漏洞,描述如下:
The remote NTP server responds to mode 6 queries. Devices that respond
to these queries have the potential to be used in NTP amplification
attacks. An unauthenticated, remote attacker could potentially exploit
this, via a specially crafted mode 6 query, to cause a reflected
denial of service condition.
即ntp server存在被未知网络攻击者利用并放大其响应mode 6查询时的潜在风险。
在设备上可以通过如下两种方式配规避:
1、配置ntp-service access { peer | query | server | synchronization } acl-number
举个例子, 服务器为A,客户端为B,C,D, 如果允许B,C,D都对服务器具有时间同步、控制查询权限,可以配置 ntp-service access peer acl 2000, acl 2000 permit B,C,D
需要将配置了从服务器A同步的所有合法客户端设备B,C,D,E,F…… 全部加入acl规并允许其对server进行访问,其他所有ip均无法进行操作
权限等级有4种,分别对应peer、server、synchronization、query。 按客户需要自己配置
2.通过外部防火墙直接过滤掉其他ip对设备的访问
(0)
A:关于NTP MODE 6字段的报文攻击:
CVE-2016-9310:
An exploitable configuration modification vulnerability exists in the control mode (mode 6) functionality of ntpd. If, against long-standing BCP recommendations, "restrict default noquery ..." is not specified, a specially crafted control mode packet can set ntpd traps, providing information disclosure and DDoS amplification, and unset ntpd traps, disabling legitimate monitoring. A remote, unauthenticated, network attacker can trigger this vulnerability.
Ntp对于mode 6的写命令(如set trap和write clock status)没有进行认证保护,导致攻击者能通过该命令反复操作ntp。
V7和V5均不支持通过mode6报文对ntp进行写操作,因此无此问题。
(1)
暂无评论
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论