记一次ntp反射放大ddos攻击

2018/3/26 ,共计310G左右的DDoS攻击

临时解决办法:将web服务转移到同生产一个内网段的备份服务器a上,a提供web端口80,数据库通过内网连接还是沿用生产数据库。

抓包分析

NTP反射和放大攻击

无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响应包就会返回到受害者的 IP。这就形成了一次反射攻击。

放大攻击就是一次小的请求包最终会收到一个或者多个多于请求包许多倍的响应包,这样就达到了四两拨千斤的效果。

什么是 NTP 的反射和放大攻击,NTP 包含一个 monlist 功能,也被成为 MON_GETLIST,主要用于监控 NTP 服务器,NTP 服务器响应 monlist 后就会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。

抓包结果:

就按此次通信回包比为1:100来算,数据量比就为:482bytes : 100x482bytes,等于100倍,实际倍数还可能更大,可怕啊。

ECS反射型DDoS攻击解决方法(阿里云文档)

问题现象

由于某些服务配置不当,导致服务器被黑客利用进行DDoS攻击。具体表现为机器对外带宽占满;使用抓包工具检测,可看到大量同一源端口的包对外发出。

解决方案

Linux系统

1. 加固NTP服务

1)    通过Iptables配置只允许信任的IP访问本机UDP的123端口。

修改配置文件,然后执行以下命令:

echo "disable
monitor" >> /etc/ntp.conf

执行以下命令重启NTP服务:

service ntpd restart

2)    我们建议您直接关闭掉NTP服务,并禁止其开机自启动。

执行service ntpd stop命令。

执行chkconfig ntpd off命令。

2. 加固Chargen服务

1)    通过Iptables配置只允许信任的IP访问本机UDP的19端口。

2)    我们建议您直接关闭掉chargen服务。编辑配置文件”/etc/inetd.conf”,用#号注释掉chargen服务,然后重启inetd服务。

Windows系统

1. 加固Simple TCP/IP服务

注意: Windows系统默认不安装Simple TCP/IP服务,如果您无需使用此服务,可跳过此步骤。

1)    通过防火墙配置,只允许信任的IP访问本机UDP、TCP的19、17端口。

2)    我们建议您直接关闭Simple TCP/IP服务,并禁止自启动。

2. Web应用的加固

WordpressPingback

1)    您可以通过增加Wordpress插件来防止Pinback被利用,加入如下过滤器:

add_filter( ‘xmlrpc_methods’, function( $methods ) {

unset( $methods[‘pingback.ping’] );

return $methods;

} );

2)   
建议您直接删除xmlrpc.php文件。

原文地址:https://www.cnblogs.com/dannylinux/p/8658558.html

时间: 2024-11-01 19:50:57

记一次ntp反射放大ddos攻击的相关文章

反射放大DDOS攻击

CLDAP Reflection DDoS LDAP: 全称为Lightweight Directory Access Protocol,即轻量目录访问协议,基于X.500标准: 目录服务就是按照树状存储信息的模式: 支持TCP/IP: 端口 389 (明文) / 636 (LDAP over SSL) CLADP:面向无连接的LDAP,解决LDAP在数据传输时,绑定操作和数据搜索等频繁的操作对资源的消耗问题. CLDAP的DDoS原理: CLDAP中只提供三种操作:searchRequest.

NTP反射放大攻击分析

前一阵子NTP放大攻击挺活跃的,现在来简单分析一下. 攻击原理: 1.  利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据: 2.  Internet上存在大量开放分布式的NTPServer,进行对同步请求的响应. 3.  比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能,(Monlist指令,可以获取与目标NTP Server进行过同步的最后600个客户机IP.这意味着,一个很小的请求包,就能获取到大量的活动IP地址组成的连续UDP包).

《浅析各类DDoS攻击放大技术》

原文链接:http://www.freebuf.com/articles/network/76021.html FreeBuf曾报道过,BT种子协议家族漏洞可用作反射分布式拒绝服务攻击(DRDoS attacks).此种攻击方式并非主流,以公开的论文看来效果堪比DNS,而NTP攻击则更胜一筹. 0×00 背景 攻击者可以利用BT种子协议(微传输协议[uTP],分布hash平台[DHT],消息流加密[MSE],BT种子同步[BTSync])来反射放大结点间传输量. 实验显示,攻击者可以利用BT结点

ntp服务器被反射放大攻击的处理方法

前言: 首先说明下什么是反射放到攻击? NTP是用UDP传输的,所以可以伪造源地址.NTP协议中有一类查询指令,用短小的指令即可令服务器返回很长的信息.放大攻击就是基于这类指令的.比如,小明以吴一帆的名义问李雷"我们班有哪些人?" 李雷就回答吴一帆说"有谁谁谁和谁谁谁--"(几百字)那么小明就以8个字的成本,令吴一帆收到了几百字的信息,所以叫做放大攻击.网络上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,即可给目标服务器带来几

刑天DDOS攻击器下一版本即将使用NTP放大功能

在一次无语实验中无意发现NTP方法后的攻击流量相当可观,Linux实测G口高达30G,也就是说最大可以放大30倍的攻击流量是何等的威武.而Windows实测服务器系统可放大10-20倍,而家用系统则可以放大5-7倍.可想而知,XTDDOS攻击器包年套餐原可打出30G流量.现如今却可以打到600G,每秒600G(600G/S)的流量发送,国内有谁能扛得住?放眼望世界,谁与争锋! 在如此大的引诱力之下,本站决定开发NTP放大攻击器.内测期间仅有本站的钻石用户可带流量测试使用NTP攻击工具.待程序完善

TFTP反射放大攻击浅析

0x00 前言 经由@杀戮提示,让我看看softpedia上的这篇报道,咱就来研究一下文中的使用TFTP(Trivial File Transfer Protocol,简单文件传输协议)进行反射型DDOS攻击.在报道的最后提到了Evaluation of TFTP DDoS amplification attack这篇论文,论文还是比较学术派和严谨的,其中使用GNS3和虚拟机搭建模拟环境,尽量严格控制相关变量与不变量,对TFTPD32,SolarWinds,OpenTFTP三种TFTP服务器进行

【漏洞学习】Memcached服务器UDP反射放大攻击

1.前言 2月28日,Memcache服务器被曝出存在UDP反射放大攻击漏洞.攻击者可利用这个漏洞来发起大规模的DDoS攻击,从而影响网络正常运行.漏洞的形成原因为Memcache 服务器UDP 协议支持的方式不安全.默认配置中将 UDP 端口暴露给外部链接. 2.原理分析 这个漏洞的攻击方式属于DRDOS(Distributed Reflection Denial of Service)分布式反射拒绝服务攻击. DRDOS 对于分布式还有拒绝服务都很好理解,反射的意思简单来说就是借别人的手来攻

记一次阿里云服务器被用作DDOS攻击肉鸡

事件描述:阿里云报警 --检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击 源IP: xx.xx.xx.xx 源PORT: 111 目的PORT: 963 攻击类型: SunRPC反射攻击 扫描IP频数: 3 扫描TCP包频数: 11480 持续时间(分钟): 55 事件说明: 检测该异常事件意味着您服务器上开启了&qu

UDP反射DDoS攻击原理和防范

东南大学:UDP反射DDoS攻击原理和防范 2015-04-17 中国教育网络 李刚 丁伟 反射攻击的防范措施 上述协议安装后由于有关服务默认处于开启状态,是其被利用的一个重要因素.因此,防范可以从配置主机服务选项和访问控制权限(ACL)入手.具体建议如下: Chargen攻击防范配置方法 关闭Chargen服务,具体的操作方法: 1.Linux系统:在/etc/inetd.conf文件中注释掉'chargen'服务,或者在/etc/xinetd.d/目录下将chargen服务对应的文件中的"d