產(chǎn)品目錄
如何做好NTP放大攻擊的防御,NTP時(shí)間服務(wù)器配置至關(guān)重要!
更新時(shí)間:2022-07-11 點(diǎn)擊次數(shù):541次
現(xiàn)在互聯(lián)網(wǎng)領(lǐng)域競(jìng)爭(zhēng)越來(lái)越激烈,總有一些組織和個(gè)人想利用DDoS攻擊進(jìn)行破壞,從而達(dá)到自己的目的。NTP放大本質(zhì)上是屬于一種反射攻擊。反射攻擊就是誘騙服務(wù)器響應(yīng)一個(gè)具有欺騙性的IP地址。攻擊者發(fā)送一個(gè)偽造IP地址(受害者的地址)的數(shù)據(jù)包,而服務(wù)器對(duì)該地址做出響應(yīng)。
NTP協(xié)議是基于UDP協(xié)議的123端口進(jìn)行通信,但是由于UDP協(xié)議的無(wú)連接性具有不安全性的缺陷,攻擊者就會(huì)利用NTP時(shí)間服務(wù)器的不安全性能漏洞發(fā)起DDoS攻擊。攻擊者攻擊的步驟是先尋找攻擊對(duì)象或者互聯(lián)網(wǎng)中支持NTP放大攻擊的服務(wù)器資源;然后通過(guò)偽造IP地址向NTP服務(wù)器發(fā)送monlist的請(qǐng)求報(bào)文,為了增加攻擊的強(qiáng)度,monlist指令會(huì)監(jiān)控響應(yīng) NTP 服務(wù)器并且將其返回進(jìn)行時(shí)間同步的最近多個(gè)客戶端的IP地址,通常NTP時(shí)間服務(wù)器與大量的客戶端進(jìn)行交互時(shí),一個(gè)不超過(guò)64字節(jié)的請(qǐng)求數(shù)據(jù)包可以觸發(fā)100個(gè)482個(gè)字節(jié)響應(yīng)的數(shù)據(jù)包,因此它具有放大數(shù)百倍的功能。從而這些大流量就會(huì)阻塞網(wǎng)絡(luò),導(dǎo)致網(wǎng)絡(luò)不通,造成了分布式拒絕服務(wù)。
那么,NTP放大攻擊的防御措施有哪些?
第一,對(duì)NTP服務(wù)器進(jìn)行合理的管理和配置,將全部的NTP服務(wù)軟件升級(jí)到最新的版本;
第二,在配置文件中添加noquery參數(shù)來(lái)限制客戶端的monlist等信息查詢請(qǐng)求;
第三,通過(guò)防火墻對(duì)UDP試用的123端口進(jìn)行限制,只允許NTP服務(wù)于固定IP進(jìn)行通信;
第四,運(yùn)用足夠大的帶寬,硬抗NTP服務(wù)產(chǎn)生的放大型流量攻擊。
第五,使用DDoS防御產(chǎn)品,將入口異常訪問(wèn)請(qǐng)求進(jìn)行過(guò)濾清洗,最后將正常的訪問(wèn)請(qǐng)求分發(fā)給服務(wù)器進(jìn)行業(yè)務(wù)處理。
因此,我們應(yīng)該重視網(wǎng)絡(luò)安全問(wèn)題,確保NTP時(shí)間服務(wù)器的安全,做好NTP放大攻擊的防御,不給破壞者任何機(jī)會(huì)!
