售前咨詢(xún):400-100-2938
售前咨詢(xún):400-100-2938
售前咨詢(xún):400-100-2938
NTP協(xié)議(Network Time Protocol)是標準的網(wǎng)絡(luò )時(shí)間同步協(xié)議,應用于分布式時(shí)間服務(wù)器和客戶(hù)端之間,實(shí)現客戶(hù)端和服務(wù)端的時(shí)間同步,從而使互聯(lián)網(wǎng)內所有設備的時(shí)間保持同步。
它采用層次化時(shí)間分布模型。網(wǎng)絡(luò )體系結構主要包括主時(shí)間服務(wù)器、從時(shí)間服務(wù)器和客戶(hù)機,主時(shí)間服務(wù)器位于根節點(diǎn),負責與高精度時(shí)間源進(jìn)行同步,為其他節點(diǎn)提供時(shí)間服務(wù),各客戶(hù)端由從時(shí)間服務(wù)器經(jīng)主服務(wù)器獲得時(shí)間同步。
NTP協(xié)議是基于UDP協(xié)議的服務(wù)器、客戶(hù)端模型,由于UDP協(xié)議的無(wú)連接性(不像TCP具有三次握手過(guò)程)具有天然的不安全性缺陷,黑客正是利用NTP服務(wù)器的不安全性漏洞發(fā)起DDoS攻擊。一般流程如下:
尋找目標,包括攻擊對象和網(wǎng)絡(luò )上的NTP服務(wù)器資源。
偽造要“攻擊對象”的IP地址向NTP服務(wù)器發(fā)送請求時(shí)鐘同步請求報文,為了增加攻擊強度,發(fā)送的請求報文為monlist請求報文。
NTP協(xié)議包含一個(gè)monlist功能,用于監控NTP服務(wù)器,NTP服務(wù)器響應monlist指令后就會(huì )返回與其進(jìn)行過(guò)時(shí)間同步的最近600個(gè)客戶(hù)端的IP地址,響應包按照每6個(gè)IP進(jìn)行分割,最多一個(gè)NTP monlist請求會(huì )形成100個(gè)響應包,具有較強的放大能力。
實(shí)驗室模擬測試顯示,當請求包的大小為234字節時(shí),每個(gè)響應包為482字節,單純按照這個(gè)數據,計算出放大的倍數是:482*100/234 = 206倍,從而大流量阻塞網(wǎng)絡(luò ),導致網(wǎng)絡(luò )不通,無(wú)法提供服務(wù)。
購買(mǎi)足夠大的帶寬,硬性抵擋NTP服務(wù)的DDoS攻擊產(chǎn)生的大流量攻擊。
使用DDoS防御產(chǎn)品,將入口異常流量進(jìn)行清洗,區分正常和異常流量,將正常流量分發(fā)給服務(wù)器進(jìn)行業(yè)務(wù)處理。
通過(guò)防火墻對UDP使用的123端口進(jìn)行限制,只允許NTP服務(wù)與固定IP進(jìn)行通信,其他IP全部拒絕。
關(guān)閉NTP服務(wù)器monlist功能。
升級NTP服務(wù)器版本到4.2.7p26。
Copyright ? Yisu Cloud Ltd. All Rights Reserved. 2018 版權所有
廣州億速云計算有限公司 粵ICP備17096448號-1
粵公網(wǎng)安備 44010402001142號 增值電信業(yè)務(wù)經(jīng)營(yíng)許可證編號:B1-20181529