ntp服务器被反射放大攻击的处理方法

Posted 2020-06-14

前言：

首先说明下什么是反射放到攻击？

NTP是用UDP传输的，所以可以伪造源地址。
NTP协议中有一类查询指令，用短小的指令即可令服务器返回很长的信息。
放大攻击就是基于这类指令的。
比如，小明以吴一帆的名义问李雷“我们班有哪些人？” 李雷就回答吴一帆说“有谁谁谁和谁谁谁……”(几百字)
那么小明就以8个字的成本，令吴一帆收到了几百字的信息，所以叫做放大攻击。
网络上一般NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，即可给目标服务器带来几百上千Mbps的攻击流量，达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件，关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话)，所以没办法用作放大攻击。

下面阐述一下ntp服务器异常情况：

ntp服务器为物理服务器，内网和外网各一个网卡，直接接在接入交换机。

互联网流量高，通过查看交换机端口流量，发现 ntp服务器所连接的接入交换机端口流量异常，shutdown该端口，流量正常。下图为春节期间 互联网流量图   

通过分析，

 这次的黑客攻击总结起来有二点原因：

1.      防火墙没有起作用，ACL策略有没有配置，暴漏于公网的主机必须限制访问网段；

2.      驻地云有没有抗DDOS攻击的等相关安全设备，暴漏于公网的主机必须及时做安全加固；

解决方法：

被攻击的数据端口：UDP 123端口。
一、加固NTP服务：
1. 把NTP服务器升级
2. 关闭现在NTP服务的 monlist 功能，在ntp.conf配置文件中增加“disable monitor”选项
3. 在网络出口封禁 UDP 123 端口
二、防御NTP反射和放大攻击
1. 由于这种攻击的特征比较明显，所以可以通过网络层或者借助运营商实施ACL来防御
2. 使用防DDoS设备进行清洗

以上解决方案，对于我来说：
1、关闭现在NTP服务的 monlist 功能，在ntp.conf配置文件中增加“disable monitor”选项：
实践证明这个方法是非常有效的！

2、在网络出口封禁 UDP 123 端口：
因为很多设备需要向这台被攻击的服务器进行时钟同步，所以封禁UDP 123端口对我来说是不现实的。

3、通过网络层或者借助运营商实施ACL来防御：
因为涉及生产系统，而且在不精通防火墙、交换机的情况下，没有考虑增加ACL规则策略来防御NTP攻击。

希望看到的同行们能给出更好的意见，欢迎你们给提供更好的解决方案！

本文出自 “杜海强” 博客，谢绝转载！