monlist es un comando de depuración que permite recuperar información del facilidad de monitoreo sobre el tráfico asociado con el servicio NTP.
La implementación de referencia de NTP [...] permite a los usuarios solicitar una lista de hosts con los que el demonio NTP ntpd se comunicó recientemente. La lista, llamada "monlist" tiene un límite de tamaño de 600 entradas y contiene las direcciones IP de los últimos clientes o servidores NTP con los que ha hablado la instancia.
(Fuente)
No lo encuentra explícitamente mencionado en ningún RFC ya que es una solicitud NTP mode 7 . RFC 1305 explica que las implementaciones pueden usar " el modo reservado 7 para fines especiales, como control remoto y monitoreo ".
El ntp-monlist NSE script también tiene información:
Los datos del monitor son una lista de los más recientemente usados (MRU) que tienen asociaciones NTP con el objetivo. Cada registro contiene información sobre el paquete NTP más reciente enviado por un host al destino, incluidas las direcciones de origen y destino, y la versión y el modo NTP del paquete. Con esta información es posible clasificar los hosts asociados como Servidores, Compañeros y Clientes.
Además del problema de divulgación de información, monlist tiene un historial de vulnerabilidades como CVE-2013-5211 que permitió ataques DoS por amplificación de tráfico a través de consultas monlist con una dirección de origen falsificada.