123/udp - Pentesting NTP

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

기본 정보

**네트워크 시간 프로토콜 (NTP)**는 가변 대기 시간 네트워크에서 컴퓨터와 네트워크 장치가 시계를 정확하게 동기화하도록 보장합니다. IT 운영, 보안 및 로깅에서 정확한 시간 유지에 필수적입니다. 시간은 거의 모든 인증, 암호 프로토콜 및 포렌식 프로세스에서 사용되기 때문에, NTP에 영향을 미칠 수 있는 공격자는 종종 보안 통제를 우회하거나 공격을 조사하기 어렵게 만들 수 있습니다.

요약 및 보안 팁

• 목적: 네트워크를 통해 장치 시계를 동기화합니다.
• 중요성: 보안, 로깅, 암호 프로토콜 및 분산 시스템에 중요합니다.
• 보안 조치:
• 인증이 있는 신뢰할 수 있는 NTP 또는 NTS(네트워크 시간 보안) 소스를 사용합니다.
• 데몬에 쿼리/명령을 할 수 있는 대상을 제한합니다 (restrict default noquery, kod 등).
• 레거시 모드-6/7 제어 쿼리 (monlist, ntpdc)를 비활성화하거나 속도를 제한합니다.
• 변조를 위해 동기화 드리프트/윤초 상태를 모니터링합니다.
• 데몬을 최신 상태로 유지합니다 (아래의 최근 CVE 참조).

기본 포트

123/udp   NTP            (data + legacy control)
4460/tcp  NTS-KE (RFC 8915) – TLS key-establishment for NTP

PORT    STATE SERVICE REASON
123/udp open  ntp     udp-response

열거

고전 ntpd / ntpq / ntpdc

# Information & variables
ntpq -c rv <IP>
ntpq -c readvar <IP>
ntpq -c peers <IP>
ntpq -c associations <IP>

# Legacy mode-7 (often disabled >=4.2.8p9)
ntpdc -c monlist <IP>
ntpdc -c listpeers <IP>
ntpdc -c sysinfo  <IP>

chrony / chronyc (대부분의 최신 Linux 배포판에서)

cmdallow가 활성화되면 원격 IP에서 허용되는 모니터링 명령은 극히 일부입니다:

chronyc -a -n tracking   -h <IP>
chronyc -a -n sources -v -h <IP>
chronyc -a -n sourcestats -h <IP>

M/S 플래그와 기타 필드(스트라텀, 리치, 지터 등)의 의미는 chronyc 매뉴얼 페이지를 참조하세요.

Nmap

# Safe discovery & vuln detection
nmap -sU -sV --script "ntp* and (discovery or vuln) and not (dos or brute)" -p 123 <IP>

# Explicit monlist check
nmap -sU -p123 --script ntp-monlist <IP>

대량/인터넷 스캐닝

# Check if MONLIST is enabled (zgrab2 module)
zgrab2 ntp --monlist --timeout 3 --output-file monlist.json -f "zmap_results.csv"

구성 파일 검사

• /etc/ntp.conf (ntpd)
• /etc/chrony/chrony.conf (chrony)
• /etc/systemd/timesyncd.conf (timesyncd – 클라이언트 전용)

restrict 라인, kod (Kiss-o’-Death) 설정, disable monitor/includefile /etc/ntp/crypto 및 NTS가 활성화되어 있는지 (nts enable) 특별히 주의하십시오.

최근 취약점 (2023-2025)

익스플로잇 키트: 2023 ntpq OOB-write 시리즈의 개념 증명 페이로드는 GitHub에 있으며 (Meinberg 작성 참조) 시스템 관리자의 클라이언트 측 피싱을 위해 무기화될 수 있습니다.

고급 공격

1. NTP 증폭 / 반사

구식 Mode-7 monlist 쿼리는 최대 600개의 호스트 주소를 반환하며 여전히 수천 개의 인터넷 호스트에 존재합니다. 응답 (428-468 바이트/항목)이 8바이트 요청보다 ~ 200배 더 크기 때문에 공격자는 세 자리 증폭 계수를 달성할 수 있습니다. 완화 조치:

• ntp 4.2.8p15+로 업그레이드하고 disable monitor를 추가하십시오.
• 엣지에서 UDP/123의 속도를 제한하거나 DDoS 장비에서 sessions-required를 활성화하십시오.
• 출구 필터링을 위해 BCP 38를 활성화하여 소스 스푸핑을 차단하십시오.

단계별 분석을 위해 Cloudflare의 학습 센터 기사를 참조하십시오.

2. 시간 이동 / 지연 공격 (Khronos / Chronos 연구)

인증이 있더라도, 경로 공격자는 패킷을 드롭하거나 지연시켜 클라이언트 시계를 조용히 이동시킬 수 있습니다. IETF Khronos (이전 Chronos) 초안은 백그라운드에서 다양한 서버를 쿼리하고 결과를 정상 확인하여 𝚡 ms 이상의 이동을 감지할 것을 제안합니다. 최신 chrony (4.4+)는 이미 유사한 정상 필터 (maxdistance / maxjitter)를 구현하고 있습니다.

3. NTS 남용 및 4460/tcp 노출

NTS는 무거운 암호화를 별도의 TLS 1.3 채널인 4460/tcp (ntske/1)로 이동합니다. 잘못된 구현 (CVE-2023-33192 참조)은 쿠키를 파싱할 때 충돌하거나 약한 암호를 허용합니다. 펜테스터는:

# TLS reconnaissance
nmap -sV -p 4460 --script ssl-enum-ciphers,ssl-cert <IP>

# Grab banner & ALPN
openssl s_client -connect <IP>:4460 -alpn ntske/1 -tls1_3 -ign_eof

자체 서명된 인증서나 만료된 인증서 및 약한 암호화 스위트(비 AEAD)를 찾아보세요. 참조: RFC 8915 §4.

강화 / 최선의 현재 관행 (BCP-233 / RFC 8633)

운영자는 다음을 권장합니다:

1. ≥ 4개의 독립적이고 다양한 시간 소스(공개 풀, GPS, PTP-브리지)를 사용하여 단일 소스 오염을 피하십시오.
2. kod 및 limited/nomodify 제한을 활성화하여 악의적인 클라이언트가 전체 응답 대신 Kiss-o’-Death 속도 제한 패킷을 받도록 하십시오.
3. panic 이벤트 또는 1000초 이상의 단계 조정을 위해 데몬 로그를 모니터링하십시오. (RFC 8633 §5.3에 따른 공격의 징후.)
4. 도약 초 중단을 피하기 위해 leap-smear를 고려하되, 모든 하류 클라이언트가 동일한 스미어 윈도우를 사용하도록 하십시오.
5. 도약 초 플래그가 누락되지 않도록 폴링을 ≤24시간으로 유지하십시오.

포괄적인 체크리스트는 RFC 8633을 참조하십시오.

Shodan / Censys Dorks

port:123 "ntpd"          # Version banner
udp port:123 monlist:true # Censys tag for vulnerable servers
port:4460 "ntske"         # NTS-KE

유용한 도구

HackTricks 자동 명령

Protocol_Name: NTP
Port_Number: 123
Protocol_Description: Network Time Protocol

Entry_1:
Name: Notes
Description: Notes for NTP
Note: |
The Network Time Protocol (NTP) ensures computers and network devices across variable-latency networks sync their clocks accurately. It's vital for maintaining precise timekeeping in IT operations, security, and logging. NTP's accuracy is essential, but it also poses security risks if not properly managed.

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-ntp.html

Entry_2:
Name: Nmap
Description: Enumerate NTP
Command: nmap -sU -sV --script "ntp* and (discovery or vuln) and not (dos or brute)" -p 123 {IP}

References

• RFC 8915 – Network Time Security for the Network Time Protocol (port 4460)
• RFC 8633 – Network Time Protocol BCP
• Cloudflare DDoS report 2024 Q4 (5.6 Tbps)
• Cloudflare NTP Amplification Attack article
• NTP 4.2.8p15 CVE series 2023-04
• NVD entries CVE-2023-26551–55, CVE-2023-33192
• SUSE chrony security update 2024 (chrony 4.5)
• Khronos/Chronos draft (time-shift mitigation)
• chronyc manual/examples for remote monitoring
• zgrab2 ntp module docs

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.