在过去的几周里，您可能听说了DDoS库中的一种新工具：基于NTP的攻击。这些游戏最近很流行，给一些游戏网站和服务提供商带来了麻烦。我们早就认为NTP可能成为DDoS攻击的载体，因为与DNS一样，NTP是一种简单的基于UDP的协议，可以说服它对一个小请求返回一个大的响应。不幸的是，这一预测已经成真。

这篇博客文章解释了基于NTP的攻击是如何工作的，以及网站所有者如何帮助减轻这些攻击。CloudFlare保护网站免受基于NTP的攻击，但最好通过对防火墙和NTP服务器进行简单的配置更改来阻止基于NTP的DDoS流。这样做可以使网络对每个人都更安全。DNS反射是so 2013我们在过去写过基于DNS的反射和放大攻击以及基于NTP的攻击使用类似的技术，只是协议不同而已。当攻击者可以使用伪造的源IP地址发送数据包时，反射攻击就起作用了。攻击者将一个明显来自目标受害者的数据包发送到Internet上的某个服务器，该服务器将立即回复。因为源IP地址是伪造的，远程Internet服务器会回复并向受害者发送数据。这有两个影响：攻击的实际来源是隐藏的，很难追踪；而且，如果使用多个互联网服务器，攻击可以由来自世界各地的大量数据包攻击受害者组成。但是反射攻击真正强大的原因在于它们也被放大了：当一个小的伪造包从服务器（或多个服务器）得到一个大的响应时。在这种情况下，攻击者可以从伪造的源IP地址"发送"一个小数据包，并让服务器向受害者发送大的回复。这样的放大攻击会导致攻击者将来自少量计算机的少量带宽转化为大量的流量负载，从而从互联网上攻击受害者。直到最近，最流行的放大攻击协议是DNS：一个小的DNS查询查找域名的IP地址就会得到一个大的回复。

对于DNS，放大系数（应答比请求大多少）是8x，因此攻击者可以生成比他们自己可以访问的带宽大8倍的攻击。例如，攻击者控制10台1Gbps的计算机，可能会生成80Gbps DNS放大攻击。在过去，我们看到过一种利用SNMP进行放大的攻击：它的因子是650x！幸运的是，Internet上几乎没有开放的SNMP服务器，SNMP通常需要身份验证（尽管许多服务器的安全性较差）。这使得SNMP攻击相对较少。今天新来的孩子是NTP。作为协议（UDP）作为网络的123端口攻击NTP是网络时间协议，连接到Internet的机器使用它来精确设置时钟。例如，地址时间.欧元.苹果.com在我的Mac上的时钟配置中看到的，实际上是苹果公司运行的NTP服务器的地址。

我的Mac电脑会悄悄地与服务器同步以保持时钟准确。当然，NTP不仅仅被mac机使用：它被广泛应用于互联网上的台式机、服务器甚至手机来保持时钟同步。不幸的是，简单的基于UDP的NTP协议很容易受到放大攻击，因为它将用一个伪造的源IP地址来回复一个数据包，而且它的至少一个内置命令会对一个短请求发送一个长响应。这使得它成为理想的DDoS工具。NTP包含一个名为monlist（有时也叫MON_GETLIST）的命令，可以将其发送到NTP服务器进行监视。它返回NTP服务器与之交互的最后600台计算机的地址。此响应比发送的请求大得多，因此非常适合于放大攻击。为了了解有多大，我使用ntpdc命令向因特网上随机选择的开放式NTP服务器发送monlist命令。下面是Wireshark捕获的请求和响应包。

在命令行我键入ntpdc–蒙利斯1xx.xxx.xxx.三十九将MON\u GETLIST命令发送到位于1的服务器xx.xxx.xxx.xx9号。请求包的长度为234字节。响应被分成10个数据包，总计4460字节。这是一个19倍的放大系数，因为响应是以许多包的形式发送的，因此使用这种方法的攻击将消耗大量带宽并具有较高的包速率。这个特定的NTP服务器只有55个地址可以告诉我。每个响应数据包包含6个地址（末尾有一个短数据包），因此一个繁忙的服务器如果响应最多600个地址，那么它将发送100个数据包，总共超过48k个字节，只响应234个字节。放大倍数是206倍！攻击者拥有Internet上打开的NTP服务器列表，可以使用NTP轻松完成DDoS攻击。NTP服务器也不难找到。像Metasploit和NMAP这样的常用工具都有能够识别长期支持monlist的NTP服务器的模块。还有一个开放的NTP项目，旨在突出显示开放的NTP服务器，并使它们得到修补。别成为问题的一部分如果您正在运行一个普通的NTP程序来设置服务器上的时间，并且需要知道如何配置它来保护您的机器，那么我建议Cymru团队在一个安全的NTP模板上提供出色的页面。它展示了如何在Cisco IOS、Juniper JUNOS或Linux系统上使用iptables保护NTP客户端。如果您运行的是需要在公共互联网上运行的ntpd服务器，那么必须将其升级到至少4.2.7p26版本（更多详细信息请参阅CVE-2013-5211）。该漏洞在ntpd bug数据库（第1532期）中被归类为bug。如果您正在运行一个ntpd服务器，并且仍然需要monlist之类的东西，那么有一个mrulist命令（请参阅问题1531），它现在需要nonce（证明该命令来自UDP包中的IP地址）。这些变化都不是最近的，ntpdv4.2.7p26是在2010年3月24日发布的，所以升级不需要使用前沿代码。如果您正在运行一个网络（或者是一个服务提供商），那么实现BCP-38至关重要。它的实现（以及相关的BCP-84）将消除各种源IP欺骗攻击（DNS、NTP、SNMP等）。进一步阅读如果您对反射和放大攻击的进一步背景感兴趣，请参阅我2013年10月的演示文稿"如何启动和防御DDoS"。如何启动和防御来自jgrahamc的DDoS