Skip to content
PortsDB

Référence des ports

Port 123 (UDP) – NTP

Network Time Protocol — synchronise les horloges système à travers les réseaux.

udpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs NTP et de nombreux appareils servant aussi de sources de temps. Souvent laissé comme serveur ouvert et interrogeable sur Internet.

Attaques courantes

  • DDoS par amplification NTP via la commande monlist (CVE-2013-5211)
  • Attaques de décalage horaire pour briser TLS, Kerberos et l'intégrité des journaux
  • Réponses usurpées pour fausser ou bloquer les horloges des clients
  • Abus des requêtes mode 6/7 pour la reconnaissance et la réflexion

CVE-2013-5211

Durcissement

  • Désactiver monlist / restreindre les requêtes mode 6 et 7 (noquery)
  • Passer à ntpd 4.2.7p26+ ou utiliser chrony pour supprimer monlist
  • Utiliser les directives 'restrict' pour limiter qui peut interroger et modifier
  • Authentifier les pairs avec des clés symétriques ou NTS si possible
  • Limiter le débit et bloquer le trafic à source usurpée en bordure de réseau

Commande nmap

nmap -sU -p123 --script ntp-info,ntp-monlist <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 123

Le port 123 transporte NTP (Network Time Protocol), qui maintient la synchronisation des horloges système à travers un réseau en échangeant des horodatages avec des sources de temps amont. Une heure exacte sous-tend la validation des certificats TLS, l'authentification Kerberos, la corrélation des journaux et les tâches planifiées, donc NTP s'exécute sur les serveurs, les équipements réseau et les appliances, souvent à la fois comme client et serveur.

Pourquoi c'est important pour la sécurité

NTP est célèbre pour le DDoS par amplification. Les anciennes versions de ntpd répondent à la commande monlist (mode 7) par une longue liste de clients récents, transformant une petite requête usurpée en une réponse massive dirigée vers une victime — la base de CVE-2013-5211. Au-delà du DDoS, manipuler l'heure est en soi une attaque : décaler l'horloge d'un hôte peut invalider des certificats, expirer ou rejouer des tickets Kerberos, et corrompre les horodatages dont dépendent les journaux de sécurité.

Comment il est attaqué

Les attaquants recherchent les serveurs NTP ouverts honorant encore monlist, puis reflètent des requêtes à source usurpée pour inonder les victimes de trafic amplifié. Ils envoient aussi des réponses temporelles usurpées pour fausser ou bloquer l'horloge d'une cible, brisant TLS et Kerberos ou masquant le moment d'une intrusion. Les requêtes mode 6/7 sont également détournées pour la reconnaissance sur les pairs et la configuration d'un serveur.

Liste de durcissement

Désactivez monlist et restreignez les requêtes mode 6/7 avec noquery, ou passez à ntpd 4.2.7p26+ ou chrony, qui suppriment la commande dangereuse. Appliquez les directives restrict pour contrôler qui peut interroger et modifier le service, et authentifiez les pairs avec des clés symétriques ou NTS. En bordure de réseau, limitez le débit NTP et filtrez les adresses source usurpées (BCP 38). La commande nmap ci-dessus vérifie l'exposition à monlist sur les serveurs que vous êtes autorisé à tester.

Ports liés

Port 53Port 67Port 161Port 514

Questions fréquentes

Pourquoi NTP est-il utilisé pour l'amplification DDoS ?
L'ancienne commande monlist renvoie une longue liste de clients récents à partir d'une minuscule requête, donc les attaquants usurpent l'IP d'une victime et reflètent d'énormes réponses depuis des serveurs NTP ouverts.
Comment arrêter l'amplification NTP ?
Désactivez la requête monlist/mode 7 (ou passez à ntpd 4.2.7p26+ ou chrony), appliquez les directives restrict noquery, et filtrez les adresses source usurpées en bordure.