monlist命令可以用来获取当前活动IP。某些网络设备(比如家用路由器)预配置了一个确定的NTP Server,利用monlist就可以找到这些设备。NTP Server会泄露客户机的内网IP。利用该命令还可以进行DDOS攻击。
放大反射dos攻击由CVE-2013-5211所致。且这漏洞是与molist功能有关。Ntpd4.2.7p26之前的版本都会去响应NTP中的mode7“monlist”请求。ntpd-4.2.7p26版本后,“monlist”特性已经被禁止,取而代之的是“mrulist”特性,使用mode6控制报文,并且实现了握手过程来阻止对第三方主机的放大攻击。
操作步骤:
[deployer@byit ~]$ ntpdc
ntpdc> monlist
remote address port local address count m ver rstr avgint lstint
===============================================================================
132.35.74.19 123 10.249.216.12 3730188 4 4 0 16 0
132.35.74.18 123 10.249.216.12 3729746 4 4 0 16 6
132.35.74.20 123 10.249.216.12 3729911 4 4 0 16 9
132.35.74.21 123 10.249.216.12 3729649 4 4 0 16 9
10.249.253.111 49149 10.249.216.12 64 3 2 0 82105 1877108
10.253.4.16 52714 10.249.216.12 1 3 2 0 5000879 5000879
ntpdc> quit
可获取IP地址等信息
1,修改配置文件
echo "disable monitor" >> /etc/ntp.conf
2,重启NTP服务
sudo service ntpd restart
3,查看该服务已关闭
[deployer@byit ~]$ ntpdc
ntpdc> monlist
localhost: timed out, nothing received
***Request timed out
ntpdc> quit
此时monlist已经被禁止了,也不会影响其时间同步