概述
NTP協議(Network Time Protocol)是互連網中標準的網路時間同步協議,應用於分布式時間伺服器和用戶端之間,實現用戶端和服務端的時間同步,從而使互連網內所有裝置的時間保持同步。
詳細資料
NTP服務的DDoS攻擊原理
NTP協議是基於UDP協議的伺服器、用戶端模型,由於UDP協議的無串連性(不像TCP具有三向交握過程)具有天然的不安全性缺陷,駭客正是利用NTP伺服器的不安全性漏洞發起DDoS攻擊。一般流程如下:
- 尋找目標,包括攻擊對象和網路上的NTP伺服器資源。
- 偽造要“攻擊對象”的IP地址向NTP伺服器發送請求時鐘同步請求報文,為了增加攻擊強度,發送的請求報文為monlist請求報文。
NTP協議包含一個monlist功能,用於監控 NTP 伺服器,NTP 伺服器響應monlist指令後就會返回與其進行過時間同步的最近600個用戶端的IP地址,響應包按照每6個IP進行分割,最多一個NTP monlist請求會形成100個響應包,具有較強的放大能力。
實驗室類比測試顯示,當請求包的大小為234位元組時,每個響應包為482位元組,單純按照這個資料,計算出放大的倍數是:482*100/234 = 206倍,從而大流量阻塞網路,導致網路不通,無法提供服務。
NTP服務的DDoS防禦原理
- 購買足夠大的頻寬,硬性抵擋NTP服務的DDoS攻擊產生的大流量攻擊。
- 使用DDoS防禦產品,將入口異常流量進行清洗,正常流量和區分異常,將正常流量分發給伺服器進行業務處理。
- 通過防火牆對UDP使用的123連接埠進行限制,只允許NTP服務與固定IP進行通訊,其他IP全部拒絕。
- 關閉NTP伺服器monlist功能。
- 升級NTP伺服器版本到4.2.7p26。
適用於
- DDoS高防