我听说过一种新型 DDOS,其中ntp 用于反射。
我的问题很简单:
你能详细说明它们是如何工作的吗?由于 ntp 是通过 UDP 运行的,我想某处一定有某种伪造的数据包?
如何彻底检查某些 ntp 服务器是否易受攻击(并且不能参与任何攻击)?
如果我们成为此类攻击的目标,有什么办法可以缓解吗?
由于这种攻击在 2014 年已经被广泛使用,这里有一些更多的细节:
防止和缓解此类问题的一种简单方法是默认侦听 127.0.0.1?我想这适用于任何服务(bind9、mysql、...)?
Teu*_*ink 15
这些攻击已经存在多年,最近几个月才再次流行起来。它们的工作方式与任何常规放大攻击一样:主机欺骗查询,使源 IP 地址似乎是目标主机。NTP 服务器将其答复发送到欺骗地址。由于特定查询类型的答案可能非常大并且通常是 UDP,因此这可能很快成为目标主机的问题:它被 NTP 数据包淹没。
不幸的是,这不是 NTP 服务器中的漏洞,它只是一个被滥用的功能。需要考虑的一件事是,您是否需要运行可以从整个 Internet 查询的 NTP 服务器。如果不需要,请创建访问列表或防火墙策略以阻止来自不受信任来源的查询。然后,您可以通过从不受信任的来源进行 NTP 查询来检查您的 NTP 服务器是否易受攻击,并验证您是否得到了答案。但不幸的是,有相当多的 NTP 服务器是有意公开的(例如 中的所有服务器pool.ntp.org)。如果您需要运行公共 NTP 服务器,您可以考虑实施查询速率限制,以减少对目标主机的影响,以防滥用。
该解决方案的另一个更通用的部分是网络需要实现BCP38,它告诉他们过滤离开网络的流量,因此发送欺骗数据包是不可能的。不幸的是,仍然有大量网络没有实现这种过滤,因此所有使用欺骗源数据包(使用任何协议,如 NTP、DNS 或 Chargen)的攻击仍然是可能的。
您可以采取哪些措施来减轻此类攻击取决于您的网络和可用工具,但您应该考虑的一件事是阻止来自不受信任来源的传入 NTP 数据包(因此请检查您正在使用哪些 NTP 服务器)。当然,如果您的上行链路拥塞,这也无济于事。在这种情况下,您需要请 ISP 帮助您过滤流量。
| 归档时间: |
|
| 查看次数: |
4036 次 |
| 最近记录: |