您的位置: 新闻资讯 > 新闻动态 > 正文

NTP反射放大攻击分析


来源:mozhe 2023-11-17
NTP反射放大攻击是一种分布式拒绝服务(DDoS)攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的UDP流量压倒目标网络或服务器,使常规流量无法访问目标及其周围的基础设施。

攻击原理:

1、  利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据;

2、  Internet上存在大量开放分布式的NTPServer,进行对同步请求的响应。

3、  比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能,(Monlist指令,可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着,一个很小的请求包,就能获取到大量的活动IP地址组成的连续UDP包。
 

攻击实现:

1、  所有的bots把源IP伪装成受害者IP,这个在NTP查询时返回的查询结果就直接返回给了受害者;

2、  NTP response的数据包比NTPRequest大很多倍,达到了放大的效果。
 

防御缓解方法:

1.对NTP服务器进行合理的管理和配置,将全部的NTP服务软件升级到4.2.7p26或更高版本;

2.手动关闭monlist查询功能在配置文件中添加noquery参数来限制客户端的monlist等信息查询请求 disable monitor;

3.通过防火墙对UDP试用的123端口进行限制,只允许NTP服务于固定IP进行通信;

4.运用足够大的带宽,硬抗NTP服务产生的放大型流量攻击。

5.使用DDoS防御产品,将入口异常访问请求进行过滤清洗,然后将正常的访问请求分发给服务器进行业务处理。
 

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDoS攻击防御。
 

热门文章

X

7x24 小时

免费技术支持

15625276999


-->