设为首页 收藏本站
查看: 1250|回复: 0

[经验分享] ntp服务器被反射放大攻击的处理方法

[复制链接]
累计签到:1 天
连续签到:1 天
发表于 2016-2-18 08:34:14 | 显示全部楼层 |阅读模式
前言:首先说明下什么是反射放到攻击?
NTP是用UDP传输的,所以可以伪造源地址。
NTP协议中有一类查询指令,用短小的指令即可令服务器返回很长的信息。
放大攻击就是基于这类指令的。
比如,小明以吴一帆的名义问李雷“我们班有哪些人?” 李雷就回答吴一帆说“有谁谁谁和谁谁谁……”(几百字)
那么小明就以8个字的成本,令吴一帆收到了几百字的信息,所以叫做放大攻击。
网络上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,即可给目标服务器带来几百上千Mbps的攻击流量,达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件,关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话),所以没办法用作放大攻击。
下面阐述一下ntp服务器异常情况
ntp服务器为物理服务器,内网和外网各一个网卡,直接接在接入交换机。
互联网流量高,通过查看交换机端口流量,发现 ntp服务器所连接的接入交换机端口流量异常,shutdown该端口,流量正常。下图为春节期间 互联网流量图   
QQ截图20160218083420.jpg
通过分析,
这次的黑客攻击总结起来有二点原因:
1.      防火墙没有起作用,ACL策略有没有配置,暴漏于公网的主机必须限制访问网段;
2.      驻地云有没有抗DDOS攻击的等相关安全设备,暴漏于公网的主机必须及时做安全加固;
解决方法:

被攻击的数据端口:UDP 123端口。
一、加固NTP服务:
1. 把NTP服务器升级
2. 关闭现在NTP服务的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”选项
3. 在网络出口封禁 UDP 123 端口
二、防御NTP反射和放大攻击
1. 由于这种攻击的特征比较明显,所以可以通过网络层或者借助运营商实施ACL来防御
2. 使用防DDoS设备进行清洗
以上解决方案,对于我来说:
1、关闭现在NTP服务的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”选项:
实践证明这个方法是非常有效的!

2、在网络出口封禁 UDP 123 端口:
因为很多设备需要向这台被攻击的服务器进行时钟同步,所以封禁UDP 123端口对我来说是不现实的。
3、通过网络层或者借助运营商实施ACL来防御:
因为涉及生产系统,而且在不精通防火墙、交换机的情况下,没有考虑增加ACL规则策略来防御NTP攻击。
希望看到的同行们能给出更好的意见,欢迎你们给提供更好的解决方案!




运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-179355-1-1.html 上篇帖子: CentOS6.5无线网卡驱动及其网络参数配置 下篇帖子: Linux+Apache2+PHP5+Mysql环境搭建 服务器
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表