什么是 NTP 反射放大攻击?
NTP是用UDP传输的,所以可以伪造源地址。
NTP协议中有一类查询指令,用短小的指令即可令服务器返回很长的信息。
放大攻击就是基于这类指令的。
网络上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,即可给目标服务器带来几百上千Mbps的攻击流量,达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件,关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话),所以没办法用作放大攻击。
网络时间协议(Network Time Protocl)。
通常NTP服务使用UDP 123 端口
如何防御
我们可以分为两种情况进行防御
加固 NTP 服务
1. 把 NTP 服务器觉得如果流量真的够大,400G?800G?或者升级到 4.2.7p26
2. 关闭现在 NTP 服务的 monlist 功能,在ntp.conf配置文件中增加`disable monitor`选项
3. 在网络出口封禁 UDP 123 端口
防御 NTP 反射和放大攻击
1. 由于这种攻击的特征比较明显,所以可以通过网络层或者借助运营商实施 ACL 来防御
2. 使用防 DDoS 设备进行清洗
如何防御 windows系统ntp协议的ddos攻击
DDoS攻击并不是新技术,该攻击方式最早可以追溯到1996年,2002年时在我国就已经开始频繁出现。在DDoS攻击发展的这十几年间,DDoS攻击也在不断变化。数据显示,最大规模的DDoS攻击峰值流量超过了240 Gbps,持续了13个小时以上。DDOS攻击下隐藏的是成熟的黑色产业链,黑客甚至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。DDoS的成本如此之低,而且日益简化没有了技术门槛,更没有管理制度。使得DDOS攻击在互联网上的肆虐泛滥,个人站长不可能时刻去更新网络配置去抵御DDOS。那么,站长们应该采取怎样的措施进行有效的防御呢?下面本文就介绍一下防御DDoS的基本方法。
方法/步骤
确保服务器系统的安全 首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。对于国外虚拟主机,像HostEase,BLueHost这些成熟的主机商这些都是必备的服务。
隐藏服务器真实IP 如果资金充足,可以选择高防主机,在服务器前端加CDN中转,所有的域名和子域名都使用CDN来解析。HostEase最新推出洛杉矶两款高防主机,内存高达32GB,硬盘1TB,目前正在特价促销中。
发送邮件要注意 服务器对外传送信息会泄漏IP,最常见的是,服务器不使用发送邮件功能。如果一定要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样显示出来的IP是代理IP。 不难发现服务器防黑最根本的措施就是隐藏IP,只要不泄露真实IP地址,10G以下小流量DDOS的预防还是非常简单的,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,使用高防主机才能确保网站安全。最后重要的事情再说一遍服务器的真实IP是需要隐藏的。
NTP软件安装使用实践
官网已经提供了具体的安装指导,下面仅仅是简单的翻译了一下(安装的操作系统:Win10_lstc_2019_x64):
不用修改,关闭txt即可
注意:修改了ntp.conf文件以后需要重启ntp服务,才能生效。
NTP服务启动后需要几分钟左右的时间才会对外提供服务。
1.默认权限设定
restrict default noquery nopeer nomodify notrap
restrict -6 default noquery nopeer nomodify notrap
2.本地信任
restrict 127.0.0.1
restrict -6 ::1
3.授权远程服务权限
restrict [ 客户端IP ] mask [ IP掩码 ] [参数 ]
restrict 192.168.0.1 mask 255.255.255.0 noquery nomodify
192.168.0.1-192.168.0.255 这个网段的IP,都可以对时。单个IP只需要mask 255.255.255.255即可,192.168.0.1是网关地址。255.255.255.0是子网掩码。
经过实验发现:
4.上层授时服务器
server host [ key n ] [ version n ] [ prefer ] [ mode n ] [ minpoll n ] [ maxpoll n ] [ iburst ]
server IP1/Domain Name1 iburst minpoll 4 maxpoll 6 prefer
server IP2/Domain Name2
NTP消息的最大轮询间隔默认为10(1024秒=17分钟),可以通过maxpoll增加到17(36.4小时)的上限。最小轮询间隔默认为6(64秒),但可以通过minpoll降低到4(16秒的)下限。
server 120.25.115.20 prefer minpoll 4 maxpoll 6 iburst
5.本地时钟源
server 127.127.1.0
fudge 127.127.1.0 stratum 12
当没有时间同步来源的时候以自身的硬件时钟为准,这里的stratum是代表层级,创建时默认是12,0-15层。
ntpd 对下层 client 来说是 service server,对于上层 server 来说它是 client,也就是说新版的 NTP 服务程序已经不对服务端和客户端进行区分了,统一叫做 ntpd。ntpd 根据配置文件的参数决定是要为其他服务器提供时钟服务或者是从其他服务器同步时钟。
所以只需要将本机的stratum设置成server数+1即可。
6.其他
driftfile "C:\NTP\etc\ntp.drift"
用于记录主机在与上层授时服务器之间沟通时所花费的时间
ntpd 服务并不是在任何情况下都会进行同步的。当时钟服务器时间和本地时间相差大于1024s 时,ntp 服务就会认为是人为调整了时钟或出现了硬件故障,例如 CMOS 电池损坏等。此时,NTP服务就会退出,需要人工使用 ntpdate进行时钟同步。
采用 -g 选项可以让 ntpd 忽略 1000s 或更大误差
7.本地防护墙
ntp服务器默认UDP协议,123端口,需要在入站防火墙上进行端口UDP协议123的允许访问即可。
ntpq -p 列出本机与所有的server的状态
需要以管理员启动才能执行 start,restart,stop操作。
Allow initial big time step:大于1024秒,作为客户端是否还同步NTP的时间。 不建议勾上 ,作为对外授时的服务器,使用来自上层授时服务器的时间,如果时间与上层时间超过了1024秒,还是需要人员手动检查。
Set multimedia timer to highest resolution:多媒体定时器优化,使其最优能提供1ms延迟
Restart NTP service if stopped:如果NTP服务挂了是否自动重启。守护进程
本次安装的版本是“NetTimeSetup-320a3_NTP客户端”,安装步骤较简单,省略。
每次设置完,点击一次Update Now. 确认运行状态