1.4.3.2 DoS auf NTP-Basis

Das Network Time Protocol dient im Internet zum Austausch von Zeitinformationen. Ähnlich wie beim DNSDomain Name System stehen auch hier zahlreiche Server öffentlich zur Verfügung. Mit dem monlist-Kommando, das eine Liste von zuletzt durchgeführten Anfragen an den NTPNetwork Time Protocol Server herausgibt, können aus einer 234 Byte großen Anfrage Antworten mit einer Länge von bis zu 48 KByte generiert werden (siehe Artikel im CloudFlare Blog). Ein Blog-Eintrag von Symantec zeigt Angriffe mit dieser Methode, die Ende 2013 durchgeführt wurden. Das monlist-Kommando ist inzwischen aus NTP entfernt worden.

Laut BSI-Lagebericht 2014 sank die Zahl von NTP Servern in Deutschland, die sich für diese Art Angriff missbrauchen lassen zwischen Juni und August 2014 von 4000 auf 2500. Die Betreiber wurden gezielt vom BSIBundesamt für Sicherheit in der Informationstechnik über die Problematik informiert.