1676992500,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

MSR 36-40路由器NTPmode6漏洞处理方案，在不关闭NTP服务的情况下，有几种方案可以解决此问题

14小时前提问

参考：https://zhiliao.h3c.com/Theme/details/16

漏洞描述

远程NTP服务器响应模式6查询。响应这些查询的设备有可能在NTP放大攻击中使用。未经身份验证的远程攻击者可能通过巧尽心思构建的模式6查询来利用此漏洞, 从而导致反映拒绝服务条件。该漏洞描述是ntpd收到精心构造的mode 6或者mode 7报文（包含有特殊长度的期望超长网络地址），decodenetnum()函数会打印一个断言失败但是返回了success，而不是返回失败。   

漏洞解决方案

Comware V5没有调用到decodenetnum()函数；Comware V7 B64D10版本已经修改。

因此Comware V5、Comware V7设备均不涉及。

14小时前回答 (4)

您说的这个版本是路由器的版本？还是什么版本

comware版本，路由器交换机防火墙通用版本

叫我靓仔

有下载地址么？

https://www.h3c.com/cn/Service/Document_Software/Software_Download/Router/

叫我靓仔

a.  如果目标设备只作为NTP Server（不从外部同步时间）：
配置ntp-service synchronization acl xxx可以关闭掉mode6/7功能。
（只能在仅作为server的设备上使用，在NTP客户端使用会导致无法从外部同步时间）
 
b.  如果目标设备需要作为NTP Client（从外部同步时间） ：
在目标设备上配置ntp-service peer acl xxx ，
将下游ntp client（从目标设备同步时间）和上游ntp server（向目标设备同时时间）的地址 加入ACL xxx的permit规则，其他ntp报文拒收。
————拦截非信任来源的报文

14小时前回答

出现漏洞的路由器只作为对时客户端

你正在,MSR 36-40 NTPmode6漏洞处理方案