クラウド事業者の米クラウドフレアは2014年2月中旬、同社の顧客が運用するサーバーに対して、最大で400ギガビット/秒という前例のない規模のDDoS(分散サービス妨害)攻撃が仕掛けられたことを明らかにした。企業などが運用するNTPサーバー(時刻同期サーバー)が、攻撃の踏み台として悪用されたという。
NTPサーバーとは、コンピューターやネットワーク機器の時刻を同期するためのサーバーソフト。同ソフトが稼働するサーバー機を指すこともある。UNIXやLinuxなどに標準で含まれる。標準時を提供する別のNTPサーバーにアクセスしてOSの時刻を合わせるほか、他のコンピューターからの時刻の問い合わせにも答える。
NTPサーバーには、利用状況などを遠隔から確認するための管理機能もある。その一つが「MONLIST」機能だ。この機能を使ってNTPサーバーに問い合わせると、そのNTPサーバーに過去にアクセスしたコンピューターのIPアドレス最大600件が応答として返される。今回、この機能が悪用された。
MONLISTによる問い合わせの際に、NTPサーバーに送られる要求データは234バイト。だが、600件のIPアドレスが返されると、その応答データは48キロバイト以上になる。つまり、データが200倍以上に増幅される。
