今天主要介绍NTP服务放大攻击及常见检测防范方法。1、什么是NTP服务放大攻击?NTP放大攻击是一种基于反射的容量分布式拒绝服务(DDoS)攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的UDP流量淹没目标网络或服务器这使得正常交通无法访问目标及其周围的基础设施。标准的NTP服务提供了一个monlist查询功能,又称为MON_GETLIST,主要用于监控NTP服务器的服务状态。当客户端向NTP服务提交monlist查询时,NTP服务器会返回查询终端与NTP服务器通信。最后600个客户端IP随时间同步,响应包按每6个IP划分,最多100个响应包。由于NTP服务使用UDP协议,攻击者可以伪造源地址将NTP服务单列,从而导致NTP服务器向伪造的目标发送大量UDP报文。理论上,这种面向恶意的攻击流量可以放大到虚假查询流量的100倍。2.NTP放大攻击四步攻击者利用僵尸网络向启用了monlist命令的NTP服务器发送带有欺骗性IP地址的UDP数据包。每个数据包上的欺骗IP地址都指向受害者的真实IP地址。每个UDP数据包都使用其monlist命令向NTP服务器发出请求,从而导致大量响应。然后服务器用结果数据响应欺骗地址。目标的IP地址收到响应,周围的网络基础设施变得不堪重负,导致拒绝服务。由于攻击流量看起来像是来自有效服务器的合法流量,因此很难在不阻止真正NTP服务器上的合法活动的情况下减轻此类攻击流量。由于UDP数据包不需要握手,NTP服务器将在不验证请求是否真实的情况下向目标服务器发送大量响应。这些事实与默认发送大量响应的内置命令相结合,使NTP服务器成为DDoS放大攻击的绝佳反射源。3、如何查看自己是否遭受NTP放大攻击?如果在网络上检测到大流量的UDP123端口的数据,就可以确认自己受到了此类攻击。攻击检测和预防方法值得收藏"src="http://p3.pstatp.com/large/pgc-image/8c290313689b4fd6864f807fbfba8281"_fcksavedurl="http://p3.pstatp.com/large/pgc-image/8c290313689b4fd6864f8081fbfba82"width="640"height="359">4.如何防止NTP放大攻击?1.Linux系统升级将系统中的NTP服务升级到ntpd4.2.7p26或更高版本,因为ntpd4.2.7p26之后version,该服务默认关闭monlist查询功能2.关闭当前NTP服务的monlist功能在ntp.conf配置文件中添加(或修改)“disablemonitor”选项,关闭当前NTP服务的monlist功能现有NTP服务,修改保存配置文件后,重启ntpd服务3.在网络出口处阻断UDP123端口,当攻击发生时,UDP123端口的数据包通过网络设备的ACL被丢弃.放大反射Dos攻击是由CVE-2013-5211引起的.而这个漏洞ity和molist函数有关。ntpd4.2.7p26之前的版本会响应NTP中的mode7monlist请求。在ntpd-4.2.7p26版本之后,monlist特性被禁止,取而代之的是mrulist特性,使用mode6控制消息,并且实现了握手过程,防止对第三方主机的放大攻击。
