Атакующий публикует специализированный запрос “monlist” (о нём ниже) NTP-серверу. Публикация запроса атакующим происходит с поддельным IP-адресом – адресом жертвы (IP-спуфинг). На запрос “monlist” сервер возвращает список последних 600 клиентов, таким образом, при осуществлении атаки жертве начинает приходить большой объём UDP – трафика (без установления соединения) от NTP-сервера.

Проведение атаки может привести к отказу в обслуживании легитимных клиентов, подключенных к атакуемому хосту, из-за высокой сетевой нагрузки на его интерфейс.

Проверить сервер, работающий по Unix-подобной ОС, на предмет уязвимости можно командой “ntpdc -c monlist <адрес сервера>”.
Если результатом работы команды будет список клиентов, значит сервер подвержен уязвимости.
Одними из способов устранения уязвимости являются:

• Обновление демона ntpd до версии 4.2.7p26 или старше;
• Отключение monlist в файле конфигурации ntp.conf, дописав строку “disable monitor”.