Компьютерная команда экстренной готовности США (US-CERT) опубликовала предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. В процессе атаки, запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика путем отправки UDP-пакетов с подставным обратным адресом.

Ранее подобные атаки как правило проводились c задействованием DNS-серверов для усиления трафика. В новых атаках зафиксирован переход на использование публичных NTP-серверов. Для усиления трафика от имени жертвы (UDP-пакет с подставным IP) на NTP-сервер отправляется запрос на выполнение команды MON_GETLIST ("get monlist"), результатом которой является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате генерируется ответ, в несколько сотен раз превышающий по размеру исходный запрос, что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы.

Проблему усугубляет то, что команда monlist выполняется без аутентификации. В качестве временной меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется ограничить доступ к сервису NTP для внешних сетей или использовать специально модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). Обновления с устранением уязвимости уже выпущены для FreeBSD. Статус выхода исправлений для остальных систем можно отследить на следующих страницах: Debian, Ubuntu, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL.