Déni de service initié par les équipements Netgear et NTP
Date : 22 Juin 2005
Au mois de mai 2003, l'université américaine de Wisconsin-Madison a été la cible d'un trafic réseau massif ("flooding") sur un de ses serveurs de temps (serveur NTP).
Après une investigation interne, les systèmes à la source des trafics NTP massifs ont été identifiés et les sites les hébergeant contactés. Suite aux différentes réponses obtenues par l'université de Wisconsin, il a été constaté que des routeurs de type NetGear étaient à l'origine de ce phénomène.
En effet, dans la documentation des routeurs NetGear, il était spécifié que l'équipement gérait son horloge interne à travers le protocole SNTP (Simple NTP) et qu'il était configuré avec une adresse IP définie en "dur" … pointant vers le serveur NTP de l'université de Wisconsin.
Des contacts ont alors été initiés avec le support de NetGear afin que des actions soient prises pour mettre à jour les configurations par défaut des boîtiers :
- Modification de l'adresse IP du serveur de temps
- Augmentation de la valeur du "time-out" entre les différentes requêtes SNTP.
En réponse, NetGear a fourni des mises à jour pour les produits impactés par ce phénomène :
Produits NetGear | Routeurs Cable/DSL : RP614v2, RP614 | Routeurs Cable/DSL sans fil : MR814 | Modem DSL : DG814 | Routeurs Cable/DSL sans fil : HR314 |
Mise à jour | RP614v2: Version 5.13, RP614 : Version 4.14 | MR814: Version 4.13 | DG814 : Version 4.8 | HR314 : Version 1.4.2 |
Cependant, pour le cas où tous les utilisateurs des produits NetGear ne mettraient pas à jour leur boîtier, l'université de Wisconsin a également réfléchi sur différents axes pouvant permettre de résorber le phénomène de "flooding" :
- Création de serveurs de temps (NTP) miroirs sur le réseau de l'université de Wisconsin-Madison, couplés avec un routage BGP spécifique afin de décharger le lien réseau et le serveur de temps principal.
- Suppression de la classe B contenant l'adresse IP du serveur de temps, afin que les requêtes NTP des boîtiers NetGear n'atteignent plus le réseau de l'université.
- Communication au niveau de la communauté Internet (Cf. le document de l'université de Wisconsin-Madison dans la partie "Pour plus d'information").
- Amélioration au niveau de l'IETF des documents sur les pratiques courantes ("Best Current Practices") au niveau de l'implémentation et utilisation des protocoles standards Internet.
Cet incident montre que parfois des comportements qualifiés d'"agressifs" (comme le "flooding" d'un serveur NTP) peuvent avoir une origine accidentelle. Il met aussi en avant l'effort commun qui doit être fourni par les différents acteurs d'Internet (utilisateurs, éditeurs de solutions, …) afin de participer à la stabilité de ce réseau.
Pour plus d'information :
- Information de l'université de Wisconsin-Madison : http://www.cs.wisc.edu/~plonka/netgear-sntp/
- Avis de NetGear : http://kbserver.netgear.com/kb_web_files/n101176.asp
- Article de ZDNet ("NetGear flaw triggers accidental DoS attack") : http://zdnet.com.com/2100-1105_2-5068035.html
- Protocole SNTP : http://www.ietf.org/rfc/rfc2030.txt