monlist è un comando di debug che consente di recuperare informazioni dalla funzione di monitoraggio sul traffico associato con il servizio NTP.
The reference implementation of NTP [...] allows users to request a list of hosts with which the NTP daemon ntpd communicated recently. The list, called "monlist" has a size limit of 600 entries and contains the IP addresses of the last NTP clients or servers the instance has talked to.
(Fonte)
Non lo trovi esplicitamente menzionato in nessuna RFC poiché è una richiesta di modalità NTP 7 . RFC 1305 spiega che le implementazioni possono utilizzare " modalità riservata 7 per scopi speciali, come controllo remoto e monitoraggio ".
Lo ntp-monlist script NSE ha anche alcune informazioni:
Monitor data is a list of the most recently used (MRU) having NTP associations with the target. Each record contains information about the most recent NTP packet sent by a host to the target including the source and destination addresses and the NTP version and mode of the packet. With this information it is possible to classify associated hosts as Servers, Peers, and Clients.
Oltre al problema di divulgazione delle informazioni, monlist ha una storia di vulnerabilità come CVE-2013-5211 che ha consentito gli attacchi DoS mediante amplificazione del traffico tramite% querymonlist con un indirizzo di origine contraffatto.