NTP服务支持monlist命令漏洞修复方案

    monlist命令可以用来获取当前活动IP。某些网络设备(比如家用路由器)预配置了一个确定的NTP Server，利用monlist就可以找到这些设备。NTP Server会泄露客户机的内网IP。利用该命令还可以进行DDOS攻击。

    放大反射dos攻击由CVE-2013-5211所致。且这漏洞是与molist功能有关。Ntpd4.2.7p26之前的版本都会去响应NTP中的mode7“monlist”请求。ntpd-4.2.7p26版本后，“monlist”特性已经被禁止，取而代之的是“mrulist”特性，使用mode6控制报文，并且实现了握手过程来阻止对第三方主机的放大攻击。

    操作步骤：

[deployer@byit ~]$  ntpdc
ntpdc> monlist
remote address          port local address      count m ver rstr avgint  lstint
===============================================================================
132.35.74.19             123 10.249.216.12    3730188 4 4      0     16       0
132.35.74.18             123 10.249.216.12    3729746 4 4      0     16       6
132.35.74.20             123 10.249.216.12    3729911 4 4      0     16       9
132.35.74.21             123 10.249.216.12    3729649 4 4      0     16       9
10.249.253.111         49149 10.249.216.12         64 3 2      0  82105 1877108
10.253.4.16            52714 10.249.216.12          1 3 2      0 5000879 5000879
ntpdc> quit

echo "disable monitor" >> /etc/ntp.conf

sudo service ntpd restart

[deployer@byit ~]$ ntpdc
ntpdc>  monlist
localhost: timed out, nothing received
***Request timed out
ntpdc>  quit