周一，我们缓解了针对我们的一个客户的大型DDoS攻击。攻击的峰值仅略低于400Gbps。我们也看到过其他一些类似规模的攻击，但这是我们见过的使用NTP放大的最大攻击。这种类型的攻击在过去六个月急剧增长，对网络构成了新的重大威胁。星期一的袭击是一个很好的案例研究，来研究这些攻击是如何工作的。NTP放大101在深入研究这种攻击的具体细节之前，了解NTP放大攻击如何工作的基本机制是很重要的。这是这些攻击如何发生的快速概述。如果您对进一步的技术细节感兴趣的话，我们团队的johngraham Cumming曾写过一篇关于NTP放大攻击的详细入门文章。如果你对放大攻击感兴趣，你也可以找到我们关于DNS放大攻击的有趣帖子。这些攻击使用类似的方法，但目标是开放DNS解析程序，而不是NTP服务器。NTP放大攻击从网络上由攻击者控制的服务器开始，该服务器允许源IP地址欺骗（例如，它不跟随BCP38）。攻击者生成大量UDP数据包来欺骗源IP地址，使其看起来像是来自预期的目标。这些UDP包被发送到支持MONLIST命令的网络时间协议服务器（端口123）。我个人很想和把MONLIST作为命令添加到NTP服务器的人谈谈。这个命令似乎没有什么实际用途——它返回一个列表，其中列出了最近访问NTP服务器的600个IP地址——但它可能造成很大的危害。如果NTP服务器的列表已完全填充，那么对MONLIST请求的响应将比请求大206倍。在攻击中，由于源IP地址是伪造的，并且UDP不需要握手，所以放大的响应被发送到目标。具有1Gbps连接的攻击者理论上可以生成200Gbps以上的DDoS流量。不仅仅是理论上的周一的DDoS证明了这些攻击不仅仅是理论上的。为了产生大约400Gbps的流量，攻击者使用了运行在1298个不同网络上的4529台NTP服务器。平均而言，这些服务器向CloudFlare网络上的目标受害者发送了87Mbps的流量。值得注意的是，攻击者可能只使用网络上运行的单个服务器，该服务器允许源IP地址欺骗来启动请求。虽然支持MONLIST的NTP服务器没有开放式DNS解析程序常见，但它们往往运行在连接到网络的更强大的服务器上。再加上高放大系数，这使得数量少得多的NTP服务器能够产生非常大的攻击。相比之下，针对Spamhaus的攻击使用30956个开放DNS解析程序生成300Gbps DDoS。周一，由于易受攻击服务器数量的七分之一，攻击者能够生成比Spamhaus攻击大33%的攻击。全球分布的威胁

#tableau-svg-spinner-container-0{宽度：65px；高度：65px；边框-半径：10px；显示：柔性；对齐-工具集：居中；对齐项目：center}#tableau-svg-spinner-0{宽度：50px；高度：50像素；-网络工具包-动画：tableau svg微调器动画1s线性无穷大；动画：tableau svg微调器动画1s线性无限}@-webkit关键帧tableau svg微调器动画{100%{-webkit-变换：旋转（360度）}}@keyframes tableau svg微调器动画{100%{变换：旋转（360度）尾翼{填充：url（#tableau-fade-0）}头部{填充：#616570}停止{停止颜色：#616570}#tableau-svg-spinner-container-0{border-半径：12px；b背景：rgba（255255255，.6）；了解Tableau我们看到攻击流量攻击了CloudFlare的每个数据中心。虽然我们通常能够减轻攻击，但它的规模足以在欧洲部分地区造成网络拥塞。上图显示了此次攻击中使用的4529台NTP服务器的全球分布情况。下表列出了我们在攻击中看到的前24个网络的AS编号和名称，以及每个网络上运行的受攻击NTP服务器的数量。ASN网络计数9808广东移动通信有限公司.136个锦荣街116号中网骨干31号4134号16276 OVH OVH系统1144837中国169-骨干网中国169-骨干网813320德国电信6939116 TELEHOUSE TELEHOUSE Inter。欧洲公司6110796 SCRR-10796-时代华纳有线互联网有限责任公司536830 LGI-UPC Liberty全球运营有限公司486663 TTI-NET欧洲网络罗马尼亚SA 469198 KAZTELECOM-AS JSC哈萨克斯坦电信452497 IIJ互联网倡议日本公司393269 ASN-IBSNAZ意大利电信公司399371 SAKURA-C SAKURA互联网公司3912322 PROXAD免费SAS 3720057美国电话电报公司无线业务3730811 EPiServer AB 36号137阿斯加尔意大利学术研究网络34209 ASN-QWEST-美国诺华公司-DMZ-美国336315 X发射-X发射，L.C.3352967 NT巴西技术有限公司。我32岁4713 OCN NTT通信公司3156041 CMNET-ZHEJIANG-AP中国移动通信公司311659 ERX-TANET-ASN1台湾学术网（TANET）信息中心304538 ERX-CERNET-BKB中国教育科研网络中心30目前，我们决定不公布参与攻击的NTP服务器的完整IP地址列表，因为担心这会让更多的攻击者获得强大的武器。不过，我们已经发布了一份电子表格，其中列出了参与攻击的NTP服务器网络的完整列表。虽然每台服务器的放大使这些攻击变得麻烦，但涉及的服务器和网络的数量较少给了我们一些希望，我们可以在清理这些攻击方面取得进展。我们正在联系那些在攻击中使用资源的网络运营商，鼓励他们限制对NTP服务器的访问，并禁用MONLIST命令。有点讽刺的是，法国大型主机提供商OVH是我们攻击的最大来源之一，同时也是大规模NTP放大攻击的受害者。该公司创始人在推特上写道：今天，我们看到许多新的DDoS攻击从互联网到我们的网络。类型：NTP放大器大小：>350Gbps。没问题。VAC很棒：）-Oles（@olesovhcom）2014年2月12日是时候清理问题了如果你是一个网络管理员，并且在周一你看到了下面Tweet中的网络图，那么你运行的是一个易受攻击的NTP服务器。下面是设备参与针对@CloudFlare的NTP DDOS的情况pic.twitter.com/QcrPGxbcUz-Eric C（@ctrl\u alt_esc）2014年2月12日您可以通过访问openntp项目来检查网络上是否有支持MONLIST命令的开放式NTP服务器。即使您不认为您正在运行NTP服务器，也应该检查您的网络，因为您可能无意中运行了一个。例如，Supermicro的IPMI控制器上的一些固件在默认情况下随MONLIST启用的NTP服务器一起提供。有关NTP攻击的更多详细信息和如何禁用MONLIST命令的说明可以在Internet Storm Center的NTP攻击咨询中找到。NTP和所有其他基于UDP的放大攻击都依赖于源IP地址欺骗。如果攻击者无法欺骗源IP地址，那么他们只能自己进行DDoS攻击。如果您正在运行一个网络，那么您应该确保遵循BCP38并防止带有伪造源地址的数据包离开您的网络。你可以使用麻省理工学院的thespoofer项目的工具测试你的网络目前是否遵循BCP38。如果您正在运行一个允许源IP地址欺骗的顽皮网络，您可以按照BCP38.info中列出的说明轻松实现BCP38。最后，如果你认为NTP不好，那就等下一步吧。SNMP理论上有一个65倍的放大系数。我们已经开始看到有证据表明攻击者已经开始尝试将其用作DDoS载体。系好安全带。