NTP反射放大攻击分析

NTP反射放大攻击是一种分布式拒绝服务（DDoS）攻击，其中攻击者利用网络时间协议（NTP）服务器功能，以便用一定数量的UDP流量压倒目标网络或服务器，使常规流量无法访问目标及其周围的基础设施。
攻击原理：

1、  利用UDP协议的天然脆弱点，即不需要前期建立连接，直接就可以向client发送数据；

2、  Internet上存在大量开放分布式的NTPServer，进行对同步请求的响应。

3、  比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能，(Monlist指令，可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着，一个很小的请求包，就能获取到大量的活动IP地址组成的连续UDP包。
 

攻击实现：

1、  所有的bots把源IP伪装成受害者IP，这个在NTP查询时返回的查询结果就直接返回给了受害者；

2、  NTP response的数据包比NTPRequest大很多倍，达到了放大的效果。
 

防御缓解方法：

1.对NTP服务器进行合理的管理和配置，将全部的NTP服务软件升级到4.2.7p26或更高版本；

2.手动关闭monlist查询功能在配置文件中添加noquery参数来限制客户端的monlist等信息查询请求 disable monitor；

3.通过防火墙对UDP试用的123端口进行限制，只允许NTP服务于固定IP进行通信；

4.运用足够大的带宽，硬抗NTP服务产生的放大型流量攻击。

5.使用DDoS防御产品，将入口异常访问请求进行过滤清洗，然后将正常的访问请求分发给服务器进行业务处理。
关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。