¿Cuál fue / es el propósito del comando 'MONLIST' en NTP?

8

Después de haber revisado varios documentos RFC sobre NTP sin éxito (de encontrar una respuesta), y un montón de publicaciones de blog que indican cuán peligroso, malo e inútil es este comando, pero no explica por qué existe o cuál es el verdadero propósito. , Comencé a preguntarme:

¿Por qué existe el comando MONSLIST en NTP? (El autor no pudo ver para qué se usaría esta 'característica', pero es una característica y tiene una razón para existir)

¿Cuál es el propósito del comando MONLIST en NTP?

    
pregunta Gizmo 16.02.2017 - 09:18
fuente

1 respuesta

8

monlist es un comando de depuración que permite recuperar información del facilidad de monitoreo sobre el tráfico asociado con el servicio NTP.

  

La implementación de referencia de NTP [...] permite a los usuarios solicitar una lista de hosts con los que el demonio NTP ntpd se comunicó recientemente. La lista, llamada "monlist" tiene un límite de tamaño de 600 entradas y contiene las direcciones IP de los últimos clientes o servidores NTP con los que ha hablado la instancia.

(Fuente)

No lo encuentra explícitamente mencionado en ningún RFC ya que es una solicitud NTP mode 7 . RFC 1305 explica que las implementaciones pueden usar " el modo reservado 7 para fines especiales, como control remoto y monitoreo ".

El ntp-monlist NSE script también tiene información:

  

Los datos del monitor son una lista de los más recientemente usados (MRU) que tienen asociaciones NTP con el objetivo. Cada registro contiene información sobre el paquete NTP más reciente enviado por un host al destino, incluidas las direcciones de origen y destino, y la versión y el modo NTP del paquete. Con esta información es posible clasificar los hosts asociados como Servidores, Compañeros y Clientes.

Además del problema de divulgación de información, monlist tiene un historial de vulnerabilidades como CVE-2013-5211 que permitió ataques DoS por amplificación de tráfico a través de consultas monlist con una dirección de origen falsificada.

    
respondido por el Arminius 16.02.2017 - 09:44
fuente

Lea otras preguntas en las etiquetas