NTP反射放大攻击分析

前一阵子NTP放大攻击挺活跃的,现在来简单分析一下。


攻击原理

1、  利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据;

2、  Internet上存在大量开放分布式的NTPServer,进行对同步请求的响应。

3、  比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能,(Monlist指令,可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着,一个很小的请求包,就能获取到大量的活动IP地址组成的连续UDP包).

攻击实现

1、  所有的bots把源IP伪装成受害者IP,这个在NTP查询时返回的查询结果就直接返回给了受害者;

2、  NTP response的数据包比NTPRequest大很多倍,达到了放大的效果。

防御缓解方法

1、  升级NTP server版本、禁用Monlist功能、或者在网络边界ACL过滤相关IP 端口等。

2、  这种动辄上10G、100G的攻击,更多应该是ISP和黑客攻击者之间的较量。比如:

A、运营商应该在全网层面启用uRPF功能,这样可以最大程度的拒绝各种伪造源IP的攻击;然而由于国内互联网环境,很多不对称路由穿来穿去,无法有效实施。

B、现在运营商防御类似这种攻击,基本靠僵尸网络监测系统进行监测,或者发现攻击时进行对被攻击IP进行清洗或者直接封IP。

总结:

现在的互联网攻击包括网络攻击、应用攻击等愈演愈烈,危害也越来越大,今后要加强的是研究各种新技术、新的攻击类型,进而反观巩固自己的网络、系统、应用的安全。

NTP反射放大攻击分析

时间: 2024-11-06 03:49:54

NTP反射放大攻击分析的相关文章

DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器

DNS反射放大攻击分析 摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E5%8D%95%E5%88%86%E6%9E%90/ 简介 DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器. 简单对比下正常的DNS查询和攻击者的攻击方式: 正常DNS查询:源IP地址 -–DNS查询--> DN

TFTP反射放大攻击浅析

0x00 前言 经由@杀戮提示,让我看看softpedia上的这篇报道,咱就来研究一下文中的使用TFTP(Trivial File Transfer Protocol,简单文件传输协议)进行反射型DDOS攻击.在报道的最后提到了Evaluation of TFTP DDoS amplification attack这篇论文,论文还是比较学术派和严谨的,其中使用GNS3和虚拟机搭建模拟环境,尽量严格控制相关变量与不变量,对TFTPD32,SolarWinds,OpenTFTP三种TFTP服务器进行

【漏洞学习】Memcached服务器UDP反射放大攻击

1.前言 2月28日,Memcache服务器被曝出存在UDP反射放大攻击漏洞.攻击者可利用这个漏洞来发起大规模的DDoS攻击,从而影响网络正常运行.漏洞的形成原因为Memcache 服务器UDP 协议支持的方式不安全.默认配置中将 UDP 端口暴露给外部链接. 2.原理分析 这个漏洞的攻击方式属于DRDOS(Distributed Reflection Denial of Service)分布式反射拒绝服务攻击. DRDOS 对于分布式还有拒绝服务都很好理解,反射的意思简单来说就是借别人的手来攻

ntp服务器被反射放大攻击的处理方法

前言: 首先说明下什么是反射放到攻击? NTP是用UDP传输的,所以可以伪造源地址.NTP协议中有一类查询指令,用短小的指令即可令服务器返回很长的信息.放大攻击就是基于这类指令的.比如,小明以吴一帆的名义问李雷"我们班有哪些人?" 李雷就回答吴一帆说"有谁谁谁和谁谁谁--"(几百字)那么小明就以8个字的成本,令吴一帆收到了几百字的信息,所以叫做放大攻击.网络上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,即可给目标服务器带来几

记一次ntp反射放大ddos攻击

2018/3/26 ,共计310G左右的DDoS攻击 临时解决办法:将web服务转移到同生产一个内网段的备份服务器a上,a提供web端口80,数据库通过内网连接还是沿用生产数据库. 抓包分析 NTP反射和放大攻击 无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的.在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响

基于UDP的DDos反射放大攻击

转自:https://www.us-cert.gov/ncas/alerts/TA14-017A Protocol Bandwidth Amplification Factor DNS 28 to 54 NTP 556.9 SNMPv2 6.3 NetBIOS 3.8 SSDP 30.8 CharGEN 358.8 QOTD 140.3 BitTorrent 3.8 Kad 16.3 Quake Network Protocol 63.9 Steam Protocol 5.5 Multicast

可以通过shadowserver来查看开放的mdns(用以反射放大攻击)——中国的在 https://mdns.shadowserver.org/workstation/index.html

Open mDNS Scanning Project 来自:https://mdns.shadowserver.org/ If you are looking at this page, then more than likely, you noticed a scan coming from this server across your network and/or poking at Multicast DNS (mDNS). The Shadowserver Foundation is

反射放大DDOS攻击

CLDAP Reflection DDoS LDAP: 全称为Lightweight Directory Access Protocol,即轻量目录访问协议,基于X.500标准: 目录服务就是按照树状存储信息的模式: 支持TCP/IP: 端口 389 (明文) / 636 (LDAP over SSL) CLADP:面向无连接的LDAP,解决LDAP在数据传输时,绑定操作和数据搜索等频繁的操作对资源的消耗问题. CLDAP的DDoS原理: CLDAP中只提供三种操作:searchRequest.

UDP反射DDoS攻击原理和防范

东南大学:UDP反射DDoS攻击原理和防范 2015-04-17 中国教育网络 李刚 丁伟 反射攻击的防范措施 上述协议安装后由于有关服务默认处于开启状态,是其被利用的一个重要因素.因此,防范可以从配置主机服务选项和访问控制权限(ACL)入手.具体建议如下: Chargen攻击防范配置方法 关闭Chargen服务,具体的操作方法: 1.Linux系统:在/etc/inetd.conf文件中注释掉'chargen'服务,或者在/etc/xinetd.d/目录下将chargen服务对应的文件中的"d