什么是 NTP 放大攻擊？

NTP 放大攻擊是一種基于反射的容量耗盡分布式拒絕服務（DDoS）攻擊。在這種攻擊中，攻擊者利用一種網絡時間協(xié)議 （NTP） 服務器功能，發(fā)送放大的?UDP?流量，使目標網絡或服務器不堪重負，導致正常流量無法到達目標及其周圍基礎設施。

NTP 放大攻擊的工作原理

所有放大攻擊都利用攻擊者和目標 Web 資源之間的帶寬消耗差異。當消耗差異經過多次請求而被放大時，所產生的流量可導致網絡基礎設施中斷。通過發(fā)送小型請求來導致大規(guī)模響應，惡意用戶就能達到四兩撥千斤的效果。當通過某個僵尸網絡中的每個機器人發(fā)出類似請求來使這種放大效果倍增時，攻擊者既能躲避檢測，又能收獲攻擊流量大增的好處。

DNS 洪水攻擊不同于?DNS 放大攻擊。與 DNS 洪水攻擊不同，DNS 放大攻擊反射并放大不安全?DNS?服務器的流量，以便隱藏攻擊的源頭并提高攻擊的有效性。DNS 放大攻擊使用連接帶寬較小的設備向不安全的 DNS 服務器發(fā)送無數(shù)請求。這些設備對非常大的?DNS?記錄發(fā)出小型請求，但在發(fā)出請求時，攻擊者偽造返回地址為目標受害者。這種放大效果讓攻擊者能借助有限的攻擊資源來破壞較大的目標。

NTP 放大攻擊與 DNS 放大攻擊非常相似，就好比是一個心懷惡意的青少年打電話給一家餐廳說“我要菜單上的東西每樣來一份，請給我回電話并告訴我整個訂單的信息”。當餐廳詢問回叫號碼時，他卻給出目標受害者的電話號碼。然后，目標會收到來自餐廳的呼叫，接到他們未請求的大量信息。

網絡時間協(xié)議（NTP）旨在允許連接到互聯(lián)網的設備同步其內部時鐘，在互聯(lián)網架構中發(fā)揮重要作用。通過利用某些 NTP 服務器啟用的 monlist 命令，攻擊者能夠成倍放大其初始請求流量，導致大型響應。這個命令在一些較老的設備上默認啟用，返回發(fā)送到 NTP 服務器的請求中的最后 600 個源 IP 地址。針對服務器內存中 600 個地址的 monlist 請求將比初始請求大 206 倍。這意味著，攻擊者使用 1 GB 互聯(lián)網流量就能發(fā)動一次超過 200 GB 的攻擊——所產生的攻擊流量大幅增加。

NTP 放大攻擊可分為四個步驟：

1. 攻擊者使用僵尸網絡將帶有偽造 IP?地址的 UDP 包發(fā)送到啟用了 monlist 命令的 NTP 服務器。每個包的偽造 IP 地址都指向受害者的真實 IP 地址。
2. 每個 UDP 數(shù)據(jù)包使用其 monlist 命令向 NTP 服務器發(fā)出請求，導致較大的響應。
3. 然后，服務器用結果數(shù)據(jù)響應欺騙性的地址。
4. 目標的 IP 地址接收響應，其周邊的網絡基礎設施被大量流量淹沒，從而導致拒絕服務。

由于攻擊流量看似來自有效服務器的正常流量，因此很難在不阻止實際 NTP 服務器進行正?；顒拥那闆r下防護這種攻擊流量。由于 UDP 數(shù)據(jù)包不需要握手，因此 NTP 服務器將向目標服務器發(fā)送較大的響應，而無需驗證請求是否真實。這些條件，加上在默認情況下會發(fā)送較大響應的內置命令，使 NTP 服務器成為 DDoS 放大攻擊的高效反射來源。

如何防護 NTP 放大攻擊？

對于運行網站或服務的個人或公司來說，緩解選擇并不多。這是因為，盡管個人或公司的服務器可能是攻擊目標，但其并非容量耗盡攻擊影響最大的地方。鑒于攻擊所產生的大量流量，服務器周圍的基礎設施感受到影響?；ヂ?lián)網服務提供商（ISP）或其他上游基礎設施提供商可能無法處理傳入流量而不堪重負。因此，ISP 可能會將向受害者 IP 地址發(fā)送的所有流量傳送到一個黑洞路由，以保護自己并將目標站點下線。除了象 Cloudflare DDoS 防護這樣的異地保護服務外，緩解策略大多是預防性的互聯(lián)網基礎設施解決方案。

禁用 monlist – 減少支持 monlist 命令的 NTP 服務器的數(shù)量。

修補 monlist 漏洞的一個簡單解決方案是禁用該命令。默認情況下，4.2.7 版本之前的所有 NTP 軟件都容易受到攻擊。將 NTP 服務器升級到 4.2.7 或更高版本，該命令即被禁用，即可修補漏洞。如果無法升級，則服務器的管理員可遵循 US-CERT 的說明進行必要的更改。

源 IP 驗證- – 阻止欺騙性數(shù)據(jù)包離開網絡。

由于攻擊者僵尸網絡發(fā)送的 UDP 請求必須有一個偽造為受害者 IP 地址的源?IP 地址，對于基于 UDP 的放大攻擊，降低其有效性的一個關鍵是互聯(lián)網服務提供商（ISP）拒絕帶有偽造 IP 地址的所有內部流量。如果一個從網絡內部發(fā)送的數(shù)據(jù)包帶有一個看起來像來自網絡外部的源地址，那么它就有可能是偽造數(shù)據(jù)包并可被丟棄。Cloudflare 強烈建議所有提供商實施入口過濾，并不時聯(lián)系無意中參與了 DDoS 攻擊（違反 BCP38 標準）的 ISP，幫助其了解自己的漏洞。

禁用 NTP 服務器上的 monlist 并在當前允許 IP 欺騙的網絡上實施入口過濾，這是阻止此類攻擊到達其目標網絡的有效方法。