概述

今天主要介紹一下NTP服務放大攻擊以及常用的檢測預防手段。

一、什么是NTP服務放大攻擊？

NTP放大攻擊是一種基于反射的體積分布式拒絕服務（DDoS）攻擊，其中攻擊者利用網絡時間協議（NTP）服務器功能，以便用一定數量的UDP流量壓倒目標網絡或服務器，使常規流量無法訪問目標及其周圍的基礎設施。

標準NTP 服務提供了一個 monlist查詢功能，也被稱為MON_GETLIST，該功能主要用于監控 NTP 服務器的服務狀況，當用戶端向NTP服務提交monlist查詢時，NTP 服務器會向查詢端返回與NTP 服務器進行過時間同步的最后 600 個客戶端的 IP，響應包按照每 6 個 IP 進行分割，最多有 100 個響應包。由于NTP服務使用UDP協議，攻擊者可以偽造源發地址向NTP服務進行monlist查詢，這將導致NTP服務器向被偽造的目標發送大量的UDP數據包，理論上這種惡意導向的攻擊流量可以放大到偽造查詢流量的100倍。

二、NTP放大攻擊四個步驟

攻擊者使用僵尸網絡將帶有欺騙IP地址的UDP數據包發送到啟用了monlist命令的NTP服務器。每個數據包上的欺騙IP地址指向受害者的真實IP地址。每個UDP數據包使用其monlist命令向NTP服務器發出請求，從而產生大量響應。然后，服務器使用結果數據響應欺騙地址。目標的IP地址接收響應，周圍的網絡基礎設施因流量泛濫而變得不堪重負，導致拒絕服務。

由于攻擊流量看起來像來自有效服務器的合法流量，因此很難在不阻止真正NTP服務器合法活動的情況下減輕此類攻擊流量。由于UDP數據包不需要握手，因此NTP服務器將向目標服務器發送大量響應，而不驗證請求是否可信。這些事實與內置命令相結合，默認情況下發送大量響應，使NTP服務器成為DDoS放大攻擊的極好反射源。

三、如何查看是否遭受NTP放大攻擊？

如果網絡上檢測到大流量的UDP 123端口的數據，就可以確認正在遭受此類攻擊。

四、如何防范NTP放大攻擊？

1、linux系統升級

將系統中的NTP服務升級到 ntpd 4.2.7p26 或之后的版本，因為 ntpd 4.2.7p26 版本后，服務默認是關閉monlist查詢功能的。

2、關閉現在 NTP 服務的 monlist 功能

在ntp.conf配置文件中增加（或修改）“disable monitor”選項，可以關閉現有NTP服務的monlist功能。修改并保存配置文件之后，重啟ntpd服務。

3、在網絡出口封禁 UDP 123 端口

在攻擊發生時，通過網絡設備的ACL丟棄UDP 123端口的數據包。

放大反射 Dos 攻擊由 CVE-2013-5211 所致。且這漏洞是與 molist 功能有關。ntpd 4.2.7p26 之前的版本都會去響應 NTP 中的 mode7 monlist 請求。ntpd-4.2.7p26 版本后， monlist 特性已經被禁止，取而代之的是 mrulist 特性，使用 mode6 控制報文，并且實現了握手過程來阻止對第三方主機的放大攻擊。