質問
NTP増幅攻撃に使われるmonlistは、本来何に使われるためにあるのですか? |
解答
いい質問です!🔍 NTP 増幅攻撃(NTP Amplification Attack)で悪用された `monlist`(monitor list) は、 本来は NTPサーバの管理・監視機能 の一部です。 ✅ `monlist` の本来の用途 * `monlist` コマンドは、NTPサーバに対して 「最近アクセスしてきたクライアントのリスト」を返す 機能です。 * 具体的には、NTPサーバが直近にやり取りした 最大600件のクライアントIPアドレス を返します。 📌 使い道 * サーバ管理者が「どのクライアントが自分のNTPサーバにアクセスしているか」を確認できる。 * 不審なアクセス元や負荷の原因を調査するための 監視・デバッグ用機能。 ✅ 悪用される理由(増幅攻撃) * `monlist` は 小さなリクエストに対して大量のレスポンスを返す(数百倍になることも)。 * 攻撃者は送信元アドレスを偽装してリクエストを送信すると、 NTPサーバが大量のレスポンスを被害者に送りつける → 増幅型DDoS攻撃になる。 ✅ 対策 * `monlist` は古い NTP(v4.2.7 以前)で使われていた機能。 * 現在は `mrulist`(Most Recently Used List) に置き換えられ、アクセス制御が可能になった。 * セキュリティ的には 外部公開NTPサーバで `monlist` を無効化 するのが必須。 💡 まとめ * `monlist` は 管理者が「最近アクセスしたクライアント」を確認するための機能。 * 本来は便利な監視機能だったが、「リクエストに比べレスポンスが大きすぎる」ため 増幅攻撃に悪用 された。 * 現在は `mrulist` に置き換えられている。 |
 |
|
この記事へのコメント