常见的DDoS攻击统计显示,放大攻击约占五成左右,而NTP放大攻击则又占据了其中一席之地。那么什么是NTP放大攻击呢?NTP放大攻击是一种基于反射的容积式分布式拒绝服务(DDoS)攻击,攻击者利用它来利用网络时间协议(NTP)服务器功能,从而以大量UDP流量淹没目标网络或服务器,从而导致常规流量无法访问目标及其周围的基础架构。那么NTP放大攻击如何工作?我们如何缓解NTP放大攻击呢?
常见的DDoS攻击统计显示,放大攻击约占五成左右,而NTP放大攻击则又占据了其中一席之地。那么什么是NTP放大攻击呢?NTP放大攻击是一种基于反射的容积式分布式拒绝服务(DDoS)攻击,攻击者利用它来利用网络时间协议(NTP)服务器功能,从而以大量UDP流量淹没目标网络或服务器,从而导致常规流量无法访问目标及其周围的基础架构。
NTP放大攻击如何工作?
所有放大攻击都利用了攻击者和目标Web资源之间的带宽成本差异。当许多请求之间的成本差异被放大时,由此产生的流量可能会破坏网络基础架构。通过发送小的查询导致较大的响应,恶意用户可以从更少的资源中获取更多收益。通过使僵尸网络中的每个僵尸程序发出相似的请求来倍增此放大倍率,攻击者既不会被检测到困惑,又会获得大大增加的攻击流量的好处。
NTP放大与DNS放大相似,整个攻击过程,就好比一个恶意少年打电话给一家餐馆说“我下单了,请给我回电话确认下我的订单”。当餐馆要求提供回叫号码时,这个恶意的少年给出的号码就是目标受害者的电话号码。然后,目标接收来自餐馆的电话,其中包含他们未要求的许多信息。。
NTP放大攻击可以分为四个步骤
1)攻击者使用僵尸网络将具有欺骗性IP地址的UDP数据包发送到启用了monlist命令的NTP服务器。每个数据包上的欺骗IP地址指向受害者的真实IP地址。
2)每个UDP数据包都使用其monlist命令向NTP服务器发出请求,从而导致较大的响应。
3)然后,服务器用结果数据响应欺骗地址。
4)目标的IP地址会收到响应,并且周围的网络基础架构会被大量的流量淹没,从而导致拒绝服务。
由于攻击流量看起来像来自有效服务器的合法流量,因此很难在不阻止实际NTP服务器进行合法活动的情况下缓解这种攻击流量。由于UDP数据包不需要握手,因此NTP服务器将向目标服务器发送较大的响应,而无需验证请求是否真实。这些事实加上默认情况下会发送较大响应的内置命令,使NTP服务器成为DDoS放大攻击的出色反射源。
如何缓解NTP放大攻击?
对于运行网站或服务的个人或公司,缓解措施是有限的。这是因为这样一个事实,即尽管它的个人服务器可能是目标服务器,但并不是感觉到体积攻击的主要作用所在。由于产生的大量流量,服务器周围的基础架构受到了影响。互联网服务提供商(ISP)或其他上游基础设施提供商可能无法处理传入的流量而不会变得不知所措。结果,ISP可能会将进入目标受害者IP地址的所有流量都黑洞,从而保护自己并使目标站点脱机。除诸如Cloudflare DDoS保护之类的异地保护服务外,缓解策略主要是预防性互联网基础设施解决方案。
1)禁用monlist-减少支持monlist命令的NTP服务器的数量
修补monlist漏洞的一种简单解决方案是禁用该命令。默认情况下,4.2.7之前的所有版本的NTP软件都容易受到攻击。通过将NTP服务器升级到4.2.7或更高版本,该命令被禁用,从而修补了该漏洞。如果无法升级,则遵循US-CERT的说明将允许服务器的管理员进行必要的更改。
2)配置高防IP,隐藏源站IP–阻止欺骗性数据包占用资源
攻击者的僵尸网络发送的UDP请求必须具有欺骗到受害者IP地址的源IP地址,因此降低基于UDP的放大攻击的有效性的关键因素是Internet服务提供商(ISP)拒绝任何内部流量欺骗的IP地址。因此我可以采用高防IP来作为前置IP达到抵御NTP放大攻击。腾正DDoS高防IP是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,通过配置高防IP将攻击流量引到高防IP达到隐藏源站IP保护源站安全稳定,提升用户体验和对内容提供商的黏度。了解腾正高防IP
3)配置Web应用程序防火墙(WAF)-过滤海量攻击
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略的一款产品。腾正WAF(Web应用防火墙)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站业务的安全与可用性。了解腾正WAF
热门跟贴