概述

NTP協(xié)議(network time protocol)是標(biāo)準(zhǔn)的網(wǎng)絡(luò)時(shí)間同步協(xié)議，它采用層次化時(shí)間分布模型。網(wǎng)絡(luò)體系結(jié)構(gòu)主要包括主時(shí)間服務(wù)器、從時(shí)間服務(wù)器和客戶機(jī)，主時(shí)間服務(wù)器位于根節(jié)點(diǎn)，負(fù)責(zé)與高精度時(shí)間源進(jìn)行同步，為其他節(jié)點(diǎn)提供時(shí)間服務(wù)，各客戶端由從時(shí)間服務(wù)器經(jīng)主服務(wù)器獲得時(shí)間同步。

詳細(xì)信息

NTP服務(wù)的DDoS攻擊原理

NTP協(xié)議是基于UDP協(xié)議的服務(wù)器/客戶端模型，由于UDP協(xié)議的無(wú)連接性(不像TCP具有三次握手過(guò)程)具有天然的不安全性缺陷，黑客正是利用NTP服務(wù)器的不安全性漏洞發(fā)起DDoS攻擊。

1.尋找目標(biāo)，包括攻擊對(duì)象和網(wǎng)絡(luò)上的NTP服務(wù)器資源。

2.偽造要“攻擊對(duì)象”的IP地址向NTP服務(wù)器發(fā)送請(qǐng)求時(shí)鐘同步請(qǐng)求報(bào)文，為了增加攻擊強(qiáng)度，發(fā)送的請(qǐng)求報(bào)文為monlist請(qǐng)求報(bào)文。NTP協(xié)議包含一個(gè)monlist功能，用于監(jiān)控 NTP 服務(wù)器，NTP 服務(wù)器響應(yīng)monlist指令后就會(huì)返回與其進(jìn)行過(guò)時(shí)間同步的最近 600 個(gè)客戶端的IP地址，響應(yīng)包按照每6個(gè)IP進(jìn)行分割，最多一個(gè)NTP monlist請(qǐng)求會(huì)形成100 個(gè)響應(yīng)包，具有較強(qiáng)的放大能力。實(shí)驗(yàn)室模擬測(cè)試顯示，當(dāng)請(qǐng)求包的大小為234字節(jié)時(shí)，每個(gè)響應(yīng)包為 482 字節(jié)，單純按照這個(gè)數(shù)據(jù),計(jì)算出放大的倍數(shù)是：482*100/234 = 206倍，從而大流量阻塞網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)不通，無(wú)法提供服務(wù)。

NTP服務(wù)的DDoS防御原理

1.購(gòu)買足夠大的帶寬，硬性抵擋NTP服務(wù)的DDoS攻擊產(chǎn)生的大流量攻擊。

2.使用DDoS防御產(chǎn)品，將入口異常流量進(jìn)行清洗，正常流量和區(qū)分異常，將正常流量分發(fā)給服務(wù)器進(jìn)行業(yè)務(wù)處理。

3.通過(guò)防火墻對(duì)UDP使用的123端口進(jìn)行限制，只允許NTP服務(wù)與固定IP進(jìn)行通信，其他IP全部拒絕。

4.關(guān)閉NTP服務(wù)器monlist功能。

5.升級(jí)NTP服務(wù)器版本到4.2.7p26。

適用于

?DDoS高防IP