使用 ntp 伺服器的 DDOS
我聽說過使用 ntp 進行反射的新型 DDOS 。
我的問題很簡單:
- 您能否詳細說明它們的工作原理並進行澄清?由於 ntp 是通過 UDP 執行的,我想某處一定有某種偽造的數據包?
- 如何徹底檢查某些 ntp 伺服器是否易受攻擊(並且不能參與任何攻擊)?
- 如果我們成為此類攻擊的目標,有什麼辦法可以緩解?
由於這種攻擊在 2014 年已經被廣泛使用,這裡有一些更多的細節:
- 您可以在此cve上找到更多資訊。
- “昨天晚上 01/30/2014,從歐洲中部時間 22:15 開始,巴黎的 Witbe 網路受到了使用 NTP 放大的分佈式拒絕服務 (DDOS) 攻擊的嚴重影響。”
- 哎呀,350Gpbs,這很痛苦http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-europe.aspx
- 關於 ddos 的一般行為可以在這裡找到:我在 DDoS 之下。我能做些什麼?
- 英國廣播公司談論 ntp 攻擊:http ://www.bbc.com/news/technology-26662051
- 還有一個問題:如果我錄製正確,openntpd 預設在 127.0.0.1 上偵聽,ntpd 在 0.0.0.0 上偵聽 - 我不確定是否所有參與反射 ddos 的 ntp 伺服器都需要公開服務時間 - 只是,我認為有些不熟練的系統管理員安裝 ntp 以在本地同步時間並保留預設配置文件。
預防和緩解此類問題的一種簡單方法是預設監聽 127.0.0.1?我想這對於任何服務(bind9,mysql,…)都是正確的?
這些攻擊已經存在很長時間了,最近幾個月才再次流行起來。它們像任何正常放大攻擊一樣工作:主機欺騙查詢,以便源 IP 地址似乎是目標主機。NTP 伺服器將其答案發送到欺騙地址。由於特定查詢類型的答案可能非常大,通常是 UDP,這可能很快成為目標主機的問題:它被 NTP 數據包淹沒。
不幸的是,這不是 NTP 伺服器中的漏洞,它只是一個被濫用的功能。需要考慮的一件事是,如果您需要執行可以從整個 Internet 查詢的 NTP 伺服器。如果不需要,請創建訪問列表或防火牆策略以阻止來自不受信任來源的查詢。然後,您可以檢查您的 NTP 伺服器是否易受攻擊的方法是從不受信任的來源進行 NTP 查詢並驗證您是否得到答案。但不幸的是,有相當多的 NTP 伺服器是有意公開的(例如 中的所有伺服器
pool.ntp.org)。如果需要執行公共 NTP 伺服器,可以考慮實施查詢速率限制,以減少濫用情況下對目標主機的影響。該解決方案的另一個更通用的部分是網路需要實施BCP38,它告訴他們過濾離開其網路的流量,因此不可能發送欺騙性數據包。不幸的是,仍然有大量網路沒有實現這種過濾,因此所有使用欺騙源數據包的攻擊(使用任何協議,如 NTP、DNS 或 Chargen)仍然是可能的。
您可以採取哪些措施來緩解此類攻擊取決於您的網路和可用工具,但您應該考慮的一件事是阻止來自不受信任來源的傳入 NTP 數據包(因此請檢查您正在使用哪些 NTP 伺服器)。當然,如果您的上行鏈路擁塞,這將無濟於事。在這種情況下,您需要讓您的 ISP 幫助您過濾流量。