前一阵子NTP放大***挺活跃的,现在来简单分析一下。***原理:1、 利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据;2、 Internet上存在大量开放分布式的
.
前一阵子NTP放大***挺活跃的,现在来简单分析一下。
***原理:
1、 利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据;
2、 Internet上存在大量开放分布式的NTPServer,进行对同步请求的响应。
3、 比DNS反射放大***威力更大的区别是NTP特有的一个Monlist功能,(Monlist指令,可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着,一个很小的请求包,就能获取到大量的活动IP地址组成的连续UDP包).
***实现:
1、 所有的bots把源IP伪装成受害者IP,这个在NTP查询时返回的查询结果就直接返回给了受害者;
2、 NTP response的数据包比NTPRequest大很多倍,达到了放大的效果。
防御缓解方法:
1、 升级NTP server版本、禁用Monlist功能、或者在网络边界ACL过滤相关IP 端口等。
2、 这种动辄上10G、100G的***,更多应该是ISP和******者之间的较量。比如:
A、运营商应该在全网层面启用uRPF功能,这样可以最大程度的拒绝各种伪造源IP的***;然而由于国内互联网环境,很多不对称路由穿来穿去,无法有效实施。
B、现在运营商防御类似这种***,基本靠僵尸网络监测系统进行监测,或者发现***时进行对被***IP进行清洗或者直接封IP。
总结:
现在的互联网***包括网络***、应用***等愈演愈烈,危害也越来越大,今后要加强的是研究各种新技术、新的***类型,进而反观巩固自己的网络、系统、应用的安全。
