码迷,mamicode.com
首页 > 其他好文 > 详细

NTP反射放大攻击分析

时间:2014-07-18 17:02:30      阅读:178      评论:0      收藏:0      [点我收藏+]

标签:ntp   反射攻击   放大   运营商   

前一阵子NTP放大攻击挺活跃的,现在来简单分析一下。


攻击原理

1、  利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据;

2、  Internet上存在大量开放分布式的NTPServer,进行对同步请求的响应。

3、  DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能,(Monlist指令,可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着,一个很小的请求包,就能获取到大量的活动IP地址组成的连续UDP).

 

攻击实现

1、  所有的bots把源IP伪装成受害者IP,这个在NTP查询时返回的查询结果就直接返回给了受害者;

2、  NTP response的数据包比NTPRequest大很多倍,达到了放大的效果。

 

防御缓解方法

1、  升级NTP server版本、禁用Monlist功能、或者在网络边界ACL过滤相关IP 端口等。

2、  这种动辄上10G100G的攻击,更多应该是ISP和黑客攻击者之间的较量。比如:

A、运营商应该在全网层面启用uRPF功能,这样可以最大程度的拒绝各种伪造源IP的攻击;然而由于国内互联网环境,很多不对称路由穿来穿去,无法有效实施。

B、现在运营商防御类似这种攻击,基本靠僵尸网络监测系统进行监测,或者发现攻击时进行对被攻击IP进行清洗或者直接封IP

 

总结:

 

现在的互联网攻击包括网络攻击、应用攻击等愈演愈烈,危害也越来越大,今后要加强的是研究各种新技术、新的攻击类型,进而反观巩固自己的网络、系统、应用的安全。


本文出自 “夜空中最亮的星” 博客,请务必保留此出处http://wangxl.blog.51cto.com/621714/1439459

NTP反射放大攻击分析,布布扣,bubuko.com

NTP反射放大攻击分析

标签:ntp   反射攻击   放大   运营商   

原文地址:http://wangxl.blog.51cto.com/621714/1439459

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!