《揭秘 NTP 放大扫描：网络安全的隐形威胁》(图文)

一、什么是 NTP 放大扫描

NTP 放大扫描是一种基于网络时间协议（NTP）的攻击方式。NTP 协议是基于 UDP 协议的 123 端口进行通信，然而由于 UDP 协议的无连接性存在不安全性缺陷，攻击者便会利用 NTP 服务器的不安全性能漏洞发起 DDoS 攻击。
具体而言，攻击者首先寻找攻击对象或者互联网中支持 NTP 放大攻击的服务器资源。接着，通过伪造 IP 地址向 NTP 服务器发送 monlist 的请求报文。monlist 指令会监控响应 NTP 服务器并且将其返回进行时间同步的最近多个客户端的 IP 地址。通常在 NTP 服务器与大量的客户端进行交互时，一个不超过 64 字节的请求数据包可以触发 100 个 482 个字节响应的数据包，具有放大数百倍的功能。
例如，NTP 放大攻击与 DNS 放大攻击非常相似，就像一个心怀恶意的青少年打电话给一家餐厅说 “我要菜单上的东西每样来一份，请给我回电话并告诉我整个订单的信息”。当餐厅询问回叫号码时，他却给出目标受害者的号码。然后，目标会收到来自餐厅的呼叫，接到他们未请求的大量信息。
网络时间协议（NTP）旨在允许连接到互联网的设备同步其内部时钟，在互联网架构中发挥重要作用。通过利用某些 NTP 服务器启用的 monlist 命令，攻击者能够成倍放大其初始请求流量，导致大型响应。这个命令在一些较老的设备上默认启用，返回发送到 NTP 服务器的请求中的最后 600 个源 IP 地址。针对服务器内存中 600 个地址的 monlist 请求将比初始请求大 206 倍。这意味着，攻击者使用 1 GB 互联网流量就能发动一次超过 200 GB 的攻击，所产生的攻击流量大幅增加。
NTP 放大攻击可分为四个步骤：

1. 攻击者使用僵尸网络将带有伪造 IP 地址的 UDP 包发送到启用了 monlist 命令的 NTP 服务器。

2. 每个包的伪造 IP 地址都指向受害者的真实 IP 地址。

3. 每个 UDP 数据包使用其 monlist 命令向 NTP 服务器发出请求，导致较大的响应。

4. 然后，服务器用结果数据响应欺骗性的地址。目标的 IP 地址接收响应，其周边的网络基础设施被大量流量淹没，从而导致拒绝服务。

二、NTP 放大扫描的原理

NTP 协议基于 UDP 协议的 123 端口进行通信，由于 UDP 协议的无连接性，这使得它存在安全缺陷。攻击者正是利用了这一特性，寻找支持 NTP 放大攻击的服务器资源，进而发动攻击。
攻击者在找到可利用的服务器后，会伪造 IP 地址向 NTP 服务器发送 monlist 请求报文。monlist 指令具有特殊的功能，它会监控响应 NTP 服务器并返回进行时间同步的最近多个客户端的 IP 地址。通常情况下，一个不超过 64 字节的请求数据包可以触发 100 个 482 个字节响应的数据包，具有强大的放大功能，可将攻击效果放大数百倍。
这种放大攻击的原理与其他类似攻击有相似之处。例如，NTP 放大攻击与 DNS 放大攻击非常相似，攻击者通过发送小型请求来引发大规模响应，就像一个心怀恶意的青少年打电话给餐厅索要菜单上的每样东西，并给出目标受害者的号码作为回叫号码，导致目标收到大量未请求的信息。网络时间协议（NTP）在互联网架构中发挥着重要作用，允许连接到互联网的设备同步内部时钟。然而，某些 NTP 服务器启用的 monlist 命令却成为了攻击者的可乘之机。这个命令在一些较老的设备上默认启用，返回发送到 NTP 服务器的请求中的最后 600 个源 IP 地址。针对服务器内存中 600 个地址的 monlist 请求将比初始请求大 206 倍。这意味着攻击者仅使用 1 GB 互联网流量就能发动一次超过 200 GB 的攻击，所产生的攻击流量大幅增加。

三、NTP 放大扫描的危害

1. 消耗目标网络宽带资源，造成网络拥堵，导致正常流量无法到达目标及其周围基础设施。

NTP 放大扫描通过向 NTP 服务器发送伪造的请求，使得服务器向目标受害者返回大量数据。这种攻击方式会极大地消耗目标网络的宽带资源。例如，在一些攻击事件中，大量的 NTP 服务器被利用，每台服务器都向目标发送响应数据包，最终导致目标网络被大量数据淹没，正常的网络流量无法顺利到达目标及其周围的基础设施，严重影响了网络的正常运行。

2. 隐藏攻击源头，增加追踪溯源的难度，给互联网稳定运行带来巨大威胁。

NTP 放大扫描利用了 NTP 服务器的特性，将攻击源头隐藏起来。攻击者伪造 IP 地址向 NTP 服务器发送请求，使得 NTP 服务器响应的数据看起来是来自合法服务器，而不是攻击者。这极大地增加了追踪溯源的难度，使得网络安全人员难以确定攻击的真正来源。如近期发生的多起 NTP 反射放大攻击事件，攻击流量逐步增大，且攻击源 IP 地址难以确定，给互联网的稳定运行带来了巨大威胁。一方面，基础电信企业对这种攻击的追踪溯源难度大，难以有效控制；另一方面，黑客可能利用这种攻击方式大规模发动攻击，耗尽 NTP 服务器和路由器的计算资源，耗费有限的互联网带宽，严重影响互联网的正常安全运行。

四、如何防范 NTP 放大扫描

1. 对 NTP 服务器进行合理管理和配置，将 NTP 服务软件升级到 4.2.7p26 或更高版本。

将 NTP 服务软件升级到 4.2.7p26 或更高版本是防范 NTP 放大扫描的重要措施之一。例如，漏洞报告显示，NTP.org 的 ntpd 存在远程拒绝服务漏洞，可通过升级到 4.2.7p26 或更高版本来解决。升级后的版本可能会修复已知的安全漏洞，增强服务器的安全性。

2. 手动关闭 monlist 查询功能，在配置文件中添加 noquery 参数或 “disable monitor” 选项。

手动关闭 monlist 查询功能可以有效降低被攻击的风险。我们可以在配置文件中添加 noquery 参数或 “disable monitor” 选项来实现这一目的。具体操作如：查看 ntp 服务和 monitor list，修改配置文件，添加 “disable monitor”，然后重启 NTP 服务，最后查看该服务是否已关闭。

3. 通过防火墙对 UDP 试用的 123 端口进行限制，只允许 NTP 服务与固定 IP 进行通信。

为了进一步增强安全性，可以通过防火墙对 UDP 试用的 123 端口进行限制。这样可以只允许 NTP 服务与固定 IP 进行通信，阻止来自其他未知 IP 的访问。例如，可以通过 Iptables 配置只允许信任的 IP 访问本机 UDP 的 123 端口。

4. 运用足够大的带宽硬抗攻击，或使用 DDoS 防御产品进行过滤清洗。

一方面，可以运用足够大的带宽硬抗 NTP 服务产生的放大型流量攻击。另一方面，使用 DDoS 防御产品也是一个有效的方法。DDoS 高防 IP 是一种针对 DDoS 攻击推出的付费防护服务，它可以将攻击流量引流到高防 IP 进行清洗，确保源
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。