标签:ntp服务器
前言:
首先说明下什么是反射放到攻击?
NTP是用UDP传输的,所以可以伪造源地址。
NTP协议中有一类查询指令,用短小的指令即可令服务器返回很长的信息。
放大攻击就是基于这类指令的。
比如,小明以吴一帆的名义问李雷“我们班有哪些人?” 李雷就回答吴一帆说“有谁谁谁和谁谁谁……”(几百字)
那么小明就以8个字的成本,令吴一帆收到了几百字的信息,所以叫做放大攻击。
网络上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,即可给目标服务器带来几百上千Mbps的攻击流量,达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件,关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话),所以没办法用作放大攻击。
下面阐述一下ntp服务器异常情况:
ntp服务器为物理服务器,内网和外网各一个网卡,直接接在接入交换机。
互联网流量高,通过查看交换机端口流量,发现 ntp服务器所连接的接入交换机端口流量异常,shutdown该端口,流量正常。下图为春节期间 互联网流量图
通过分析,
这次的黑客攻击总结起来有二点原因:
1. 防火墙没有起作用,ACL策略有没有配置,暴漏于公网的主机必须限制访问网段;
2. 驻地云有没有抗DDOS攻击的等相关安全设备,暴漏于公网的主机必须及时做安全加固;
解决方法:
被攻击的数据端口:UDP 123端口。
一、加固NTP服务:
1. 把NTP服务器升级
2. 关闭现在NTP服务的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”选项
3. 在网络出口封禁 UDP 123 端口
二、防御NTP反射和放大攻击
1. 由于这种攻击的特征比较明显,所以可以通过网络层或者借助运营商实施ACL来防御
2. 使用防DDoS设备进行清洗
以上解决方案,对于我来说:
1、关闭现在NTP服务的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”选项:
实践证明这个方法是非常有效的!
2、在网络出口封禁 UDP 123 端口:
因为很多设备需要向这台被攻击的服务器进行时钟同步,所以封禁UDP 123端口对我来说是不现实的。
3、通过网络层或者借助运营商实施ACL来防御:
因为涉及生产系统,而且在不精通防火墙、交换机的情况下,没有考虑增加ACL规则策略来防御NTP攻击。
希望看到的同行们能给出更好的意见,欢迎你们给提供更好的解决方案!
本文出自 “杜海强” 博客,谢绝转载!
标签:ntp服务器
原文地址:http://dulinux.blog.51cto.com/10803129/1742823
