NTP反射放大攻擊分析
責編:admin |2015-02-03 17:44:39前一陣子NTP放大攻擊挺活躍的,現在來簡單分析一下。
攻擊原理:
1、 利用UDP協議的天然脆弱點,即不需要前期建立連接,直接就可以向client發送數據;
2、 Internet上存在大量開放分布式的NTPServer,進行對同步請求的響應。
3、 比DNS反射放大攻擊威力更大的區別是NTP特有的一個Monlist功能,(Monlist指令,可以獲取與目標NTP Server進行過同步的最后600個客戶機IP。這意味著,一個很小的請求包,就能獲取到大量的活動IP地址組成的連續UDP包).
攻擊實現:
1、 所有的bots把源IP偽裝成受害者IP,這個在NTP查詢時返回的查詢結果就直接返回給了受害者;
2、 NTP response的數據包比NTPRequest大很多倍,達到了放大的效果。
防御緩解方法:
1、 升級NTP server版本、禁用Monlist功能、或者在網絡邊界ACL過濾相關IP 端口等。
2、 這種動輒上10G、100G的攻擊,更多應該是ISP和黑客攻擊者之間的較量。比如:
A、運營商應該在全網層面啟用uRPF功能,這樣可以最大程度的拒絕各種偽造源IP的攻擊;然而由于國內互聯網環境,很多不對稱路由穿來穿去,無法有效實施。
B、現在運營商防御類似這種攻擊,基本靠僵尸網絡監測系統進行監測,或者發現攻擊時進行對被攻擊IP進行清洗或者直接封IP。
總結:
現在的互聯網攻擊包括網絡攻擊、應用攻擊等愈演愈烈,危害也越來越大,今后要加強的是研究各種新技術、新的攻擊類型,進而反觀鞏固自己的網絡、系統、應用的安全。