当前位置:首页 > 日志 > 正文内容

NTP反射放大攻击分析

光的传人12年前 (2014-12-23)日志4742

服务器不知哪个域名遭到NTP攻击,于是来研究下对策。以下文章为转载:

前一阵子NTP放大攻击挺活跃的,现在来简单分析一下。

攻击原理:

1、利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据;

2、Internet上存在大量开放分布式的NTPServer,进行对同步请求的响应。

3、比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能,(Monlist指令,可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着,一个很小的请求包,就能获取到大量的活动IP地址组成的连续UDP包).

攻击实现:

1、  所有的bots把源IP伪装成受害者IP,这个在NTP查询时返回的查询结果就直接返回给了受害者;

2、  NTP response的数据包比NTPRequest大很多倍,达到了放大的效果。

防御缓解方法:

1、升级NTP server版本、禁用Monlist功能、或者在网络边界ACL过滤相关IP 端口等。

2、这种动辄上10G、100G的攻击,更多应该是ISP和黑客攻击者之间的较量。比如:

A、运营商应该在全网层面启用uRPF功能,这样可以最大程度的拒绝各种伪造源IP的攻击;然而由于国内互联网环境,很多不对称路由穿来穿去,无法有效实施。

B、现在运营商防御类似这种攻击,基本靠僵尸网络监测系统进行监测,或者发现攻击时进行对被攻击IP进行清洗或者直接封IP。

总结:

现在的互联网攻击包括网络攻击、应用攻击等愈演愈烈,危害也越来越大,今后要加强的是研究各种新技术、新的攻击类型,进而反观巩固自己的网络、系统、应用的安全。


扫描二维码推送至手机访问。

版权声明:本文由光的传人博客www.liu16.com发布,如需转载请注明出处。

本文链接:http://www.liu16.com/post/NTP.html

分享给朋友:

相关文章

Z-blog插件Auto Publisher的使用方法

Z-blog插件Auto Publisher的使用方法

最新更新:经过测试,此插件不是一次更新一篇文章,而是把草稿文章一次全部发出~那要你有什么用?为了测试Z-blog应用中心自动定时发布文章的插件是否好用,特此发布此文章:Z-blog插件Auto Publisher的使用方法,大牛勿喷!方法如...

使用小马激活工具KMS10激活win10后,主页被劫持跳转hao123解决方法大全

使用小马激活工具KMS10激活win10后,主页被劫持跳转hao123解决方法大全

今晚测试了一下俄罗斯大神(老毛子@lopatkin)精简版的win10系统正式版(Windows 10 Pro 精简版10240.16393.150717-1719.th1_st1 x86-x64 CN PIP FINAL),下载下来64位...

vob格式转换器,vob视频转换好用的免费软件

vob格式转换器,vob视频转换好用的免费软件

今晚准备把一个DVD里面的视频合并,并且压缩成常见格式放到手机上看。vob视频格式合并的软件很顺利下载到了,并且很好用,名字叫做vobm251eng.exe,一个很简单的软件,但是很好用,合并成的vob视频质量并没有改变,是DVD里面vob...

博客定位——传递正能量

博客定位——传递正能量

今早上坐公交的时候,突然想到我博客的定位是什么?今后的方向是什么?还要继续迷茫么?虽然本博主从事的IT行业,并且大部分工作是跟SEO相关的,但是这个行业的文章、感想并不是每天都有的,要保证原创质量就保证不了数量,再说,独立博客中的卢松松博客...

2013年的第一天,跟win8说再见!

2013年的第一天,跟win8说再见!

新年的第一天,就遇到了这么多问题!没办法,win8还不像xp那样成熟,问题多多。下面我说一下使用ghost win8(不要说正版不正版,中国盗版系统比正版的好用多啦!每次用正版的不到几天我就重装了!你懂得)出现的问题,就是这些问题堆到一起导...

评论列表

威客百科
12年前 (2014-12-23)

现在的互联网一直都预演欲裂。

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。