NTP を使った増幅型の DDoS 攻撃に対して,NTP サーバが踏み台にされることを防止する対策として,適切なものはどれか。
- NTP サーバの設定変更によって,NTP サーバの状態確認機能(monlist)を無効にする。
- NTP サーバの設定変更によって,自ネットワーク外の NTP サーバへの時刻問合せができないようにする。
- ファイアウォールの設定変更によって,NTP サーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
- ファイアウォールの設定変更によって,自ネットワーク外からの,NTP 以外の UDP サービスへのアクセスを拒否する。
答え
ア
解説
NTP サーバへの DDoS 攻撃は,NTP の仕様上,monlist コマンドが悪用されます。そのため,monlist コマンドを無効化することが有効な対策となります。
- NTP サーバの設定変更によって,NTP サーバの状態確認機能(monlist)を無効にする。
XXX - NTP サーバの設定変更によって,自ネットワーク外の NTP サーバへの時刻問合せができないようにする。
XXX - ファイアウォールの設定変更によって,NTP サーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
XXX - ファイアウォールの設定変更によって,自ネットワーク外からの,NTP 以外の UDP サービスへのアクセスを拒否する。
XXX