Threatpostに掲載された記事「NTP AMPLIFICATION BLAMED FOR 400 GBPS DDOS ATTACK」が、NTP(Network Time Protocol)のセキュリティ脆弱性を利用した大規模なDDoS攻撃が確認されたことを伝えた。もっともトラフィックが高くなった状態で400Gbpsに到達していたと説明がある。この手法は攻撃を受けるサーバ側では対処することが難しい類いの問題だとされており、同様の攻撃が今後も頻発する可能性があり注意が必要。

NTPに脆弱性があることはすでに報告されており、最新版ではこの機能が無効になっている。ntpd(8)にはMON_GETLISTリクエストを受け取るとそのntpd(8)サーバと通信した直近の最大600台分のIPアドレス一覧を返すという機能があるが、送信元IPアドレスを詐称した状態でこのリクエストを送ると、狙ったIPアドレスに対してIPアドレス一覧が送られるというDoS攻撃を仕掛けることができる。ntpd(8)は時刻同期機構としてインターネットで活用されており、広範囲に渡ってこの攻撃が使用される危険性がある。

この攻撃の問題は簡単なフィルタリングでは防ぎにくい点にある。送信されているデータはntpd(8)によって正規の方法で送信されるものであるため、DDoS攻撃の結果として送信されたものなのか、ユーザが必要があってntpd(8)に送信した結果なのかを区別することが難しい。ntpd(8)はサーバで活用されているほかルータなどのネットワーク機器に組み込まれているものがあり、NTPのこの機能を活用したDDoS攻撃は今後も発生する可能性がある。