S6850-56HF-G NTP mode 6漏洞
- 0关注
- 0收藏,48浏览
问题描述:
S6850-56HF-G NTP mode 6漏洞,该如何处理
|
The remote NTP server responds to mode 6 queries. Devices that respondto these queries have the potential to be used in NTP amplificationattacks. An unauthenticated, remote attacker could potentially exploitthis, via a specially crafted mode 6 query, to cause a reflecteddenial of service condition. |
udp |
H3C交换机NTP功能不支持mode 6报文的settrap和writeclock功能,因此不涉及NTP mode 6检测漏洞。
设备在开启NTP功能情况下,协议中收到报文即使不支持也会响应,所以可以被扫描到。
避免被扫描到的方法:
1)有些版本可以通过配置ntp-service noquery enable命令来禁止对端设备对本设备进行控制查询;
2)或者配置如下ACL过滤
a. 如果目标设备只作为NTP Server(不从外部同步时间):
配置ntp-service synchronization acl xxx可以关闭掉mode6/7功能。
只能在仅作为server的设备上使用,在NTP客户端使用会导致无法从外部同步时间)
b. 如果目标设备需要作为NTP Client(从外部同步时间) :
在目标设备上配置ntp-service peer acl xxx ,
将下游ntp client(从目标设备同步时间)和上游ntp server(向目标设备同时时间)的地址 加入ACL xxx的permit规则,其他ntp报文拒收。
1) 如果作为客户端
举例如下:
比如服务器的ip地址为20.20.1.1,
ac
rule 1 permit ip source 20.20.1.1 0
ntp-service peer acl 3000
2)如果作为服务器端:
配置ntp-service synchronization acl命令,acl指定设备的所有客户端的ip地址。
举例如下:
比如客户端所在的网段地址是10.11.0.0/16
Acl 3001
rule 1 permit ip source 10.11.0.0 16
ntp-service sync acl 3001
你这个漏洞报出来,其实是"虚惊一场"的成分更大。H3C官方已确认,你的S6850交换机并不存在真正意义上的安全漏。NTP mode 6漏洞的核心风险在于,攻击者可利用它对NTP服务进行"写操作",从而篡改配置或发起DDoS攻击。而H3C设备对收到的mode 6报文仅回复基本信息,不支持任何写入功能,因此不会受此影响。
不过,既然是来自安全扫描的报告,终归需要处理。你可以根据设备在网络中的角色,从下面几种方案里选一个最合适的:
| 方案 | 适用场景/条件 | 关键命令 | 注意事项 |
|---|---|---|---|
| 方案一:直接关闭响应 (最推荐,版本R83XX及以上) | Comware软件版本R83XX(含)以上的高端型号。 | <br>system-view<br>ntp-service noquery enable<br> | 绝对不能用于低版本型号,否则命令无效还会报错。 |
| 方案二:ACL精细控制 (普适性强) | 需维持NTP服务,且版本低于R83XX,或希望用ACL做精细化管控的场景。 | 场景A (纯NTP服务器,只需被动同步): ntp-service synchronization acl xxx场景B (NTP客户端,主动向外同步): <br>ntp-service peer acl xxx<br>acl advanced xxx<br>rule 10 permit udp source 20.20.1.1 0 destination-port eq ntp<br> | 配置前,确保ACL已正确放行了合法的NTP服务器IP;ACL需包含所有合法客户端,避免误拦。 |
| 方案三:外部防火墙防护 | 在设备前方设有防火墙设备。 | 在防火墙上配置安全策略。<br>rule deny udp source-port eq ntp destination-port eq ntp<br> | 先放行业务,再拒绝所有;需调研防火墙品牌和现有安全区规划。 |
验证与冲突检查
配置生效后,建议用以下命令验证:
查看ACL规则是否生效:
display packet-filter statistics interface。查看NTP访问控制:
display current-configuration | include ntp-service。
- NTP mode 6 就是 NTP 的 “控制 / 查询” 报文(查询状态、修改配置等)。
- 漏洞风险:设备回应 mode 6 查询,易被放大反射攻击、泄露设备信息。
- 华三 S6850-56HF-G(Comware V7)处理思路:关闭不必要的 NTP 查询权限 + 只放行信任端的 NTP 访问。
一、彻底禁止 NTP mode 6(推荐首选)
system-view
# 禁止所有 NTP 控制查询(直接堵死 mode 6)
ntp-service noquery enable
二、配合 ACL 做精细化访问控制(加固)
1)定义 ACL(只允许信任 NTP 服务器 / 客户端)
# 例如只允许 10.0.0.0/24 和 192.168.1.0/24 访问 NTP
acl number 2000
rule permit source 10.0.0.0 0.0.0.255
rule permit source 192.168.1.0 0.0.0.255
rule deny
2)绑定 NTP 访问控制(去掉 query 权限)
# 只给时间同步权限,不给查询权限(关闭 mode 6)
ntp-service synchronization acl 2000
# 若有上游 NTP 服务器,用 peer 并同样限制
ntp-service peer acl 2000
- synchronization:仅允许时间同步,拒绝 mode 6 查询。
- peer:用于对等体,同样受 ACL 控制。
三、两种场景完整配置示例
场景 A:交换机仅作为 NTP 客户端(不对外提供服务)
system-view
# 关闭所有 NTP 查询(直接解决 mode 6)
ntp-service noquery enable
# 配置上游 NTP 服务器(示例)
ntp-service unicast-server 10.0.0.100
场景 B:交换机作为 NTP 服务器,仅对内网提供时间
system-view
# 1. 定义 ACL(只放内网)
acl number 2000
rule permit source 192.168.0.0 0.0.255.255
rule deny
# 2. NTP 仅允许内网同步,拒绝查询
ntp-service synchronization acl 2000
# 3. 必要时关闭全局查询(双重保险)
ntp-service noquery enable
四、验证配置是否生效
# 查看 NTP 全局配置
display ntp-service status
# 查看 NTP 访问控制
display ntp-service access
# 查看 ACL 规则
display acl 2000
noquery enable 或 synchronization acl 且无 query 权限,即已封堵 mode 6。五、补充说明
- 若不需要 NTP 功能,直接全关:bash运行
undo ntp-service enable - mode 6 对应 NTP 的 query 权限,华三通过
noquery或去掉query权限即可关闭。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
你这个版本比较老了,建议升级到最新或者推荐版本,就可以解决