Security

使用 ntp 伺服器的 DDOS

  • April 18, 2014

我聽說過使用 ntp 進行反射的新型 DDOS 。

我的問題很簡單:

  1. 您能否詳細說明它們的工作原理並進行澄清?由於 ntp 是通過 UDP 執行的,我想某處一定有某種偽造的數據包?
  2. 如何徹底檢查某些 ntp 伺服器是否易受攻擊(並且不能參與任何攻擊)?
  3. 如果我們成為此類攻擊的目標,​​有什麼辦法可以緩解?

由於這種攻擊在 2014 年已經被廣泛使用,這裡有一些更多的細節:

預防和緩解此類問題的一種簡單方法是預設監聽 127.0.0.1?我想這對於任何服務(bind9,mysql,…)都是正確的?

這些攻擊已經存在很長時間了,最近幾個月才再次流行起來。它們像任何正常放大攻擊一樣工作:主機欺騙查詢,以便源 IP 地址似乎是目標主機。NTP 伺服器將其答案發送到欺騙地址。由於特定查詢類型的答案可能非常大,通常是 UDP,這可能很快成為目標主機的問題:它被 NTP 數據包淹沒。

不幸的是,這不是 NTP 伺服器中的漏洞,它只是一個被濫用的功能。需要考慮的一件事是,如果您需要執行可以從整個 Internet 查詢的 NTP 伺服器。如果不需要,請創建訪問列表或防火牆策略以阻止來自不受信任來源的查詢。然後,您可以檢查您的 NTP 伺服器是否易受攻擊的方法是從不受信任的來源進行 NTP 查詢並驗證您是否得到答案。但不幸的是,有相當多的 NTP 伺服器是有意公開的(例如 中的所有伺服器pool.ntp.org)。如果需要執行公共 NTP 伺服器,可以考慮實施查詢速率限制,以減少濫用情況下對目標主機的影響。

該解決方案的另一個更通用的部分是網路需要實施BCP38,它告訴他們過濾離開其網路的流量,因此不可能發送欺騙性數據包。不幸的是,仍然有大量網路沒有實現這種過濾,因此所有使用欺騙源數據包的攻擊(使用任何協議,如 NTP、DNS 或 Chargen)仍然是可能的。

您可以採取哪些措施來緩解此類攻擊取決於您的網路和可用工具,但您應該考慮的一件事是阻止來自不受信任來源的傳入 NTP 數據包(因此請檢查您正在使用哪些 NTP 伺服器)。當然,如果您的上行鏈路擁塞,這將無濟於事。在這種情況下,您需要讓您的 ISP 幫助您過濾流量。

引用自:https://serverfault.com/questions/564309