IT技术互动交流平台

ntp服务器被反射放大攻击的处理方法

作者:duhaqiang  发布日期:2016-02-23 21:03:12

 前言:

首先说明下什么是反射放大攻击?

NTP是用UDP传输的,所以可以伪造源地址。
NTP协议中有一类查询指令,用短小的指令即可令服务器返回很长的信息。
放大攻击就是基于这类指令的。
比如,小明以吴一帆的名义问李雷“我们班有哪些人?” 李雷就回答吴一帆说“有谁谁谁和谁谁谁……”(几百字)
那么小明就以8个字的成本,令吴一帆收到了几百字的信息,所以叫做放大攻击。
网络上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,即可给目标服务器带来几百上千Mbps的攻击流量,达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件,关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话),所以没办法用作放大攻击。

下面阐述一下ntp服务器异常情况:

ntp服务器为物理服务器,内网和外网各一个网卡,直接接在接入交换机。

互联网流量高,通过查看交换机端口流量,发现 ntp服务器所连接的接入交换机端口流量异常,shutdown该端口,流量正常。下图为春节期间 互联网流量图   

wKiom1bEZlLQzi9KAACPUUBcDlw759.png

通过分析,

 这次的黑客攻击总结起来有二点原因:

1.      防火墙没有起作用,ACL策略有没有配置,暴漏于公网的主机必须限制访问网段;

2.      驻地云有没有抗DDOS攻击的等相关安全设备,暴漏于公网的主机必须及时做安全加固;

解决方法:

被攻击的数据端口:UDP 123端口。
一、加固NTP服务:

修改配置:vi /etc/ntp.conf   #说明:此ntp服务器系统为centos5.5系统,其他系统路径可能不同。

1.首先默认拒绝client所有的操作,代码: 

restrict default kod nomodify notrap nopeer noquery   #或restrict default ignore

restrict -6 default kod nomodify notrap nopeer noquery    #拒绝 IPv6 的用戶

2. 然后允许本机地址一切的操作,代码:

restrict 127.0.0.1

restrict -6 ::1     # IPv6,

3.然后允许局域网内某个IP段能否进行时间同步操作,代码:

restrict 10.120.189.0 mask 255.255.255.0 nomodify

4.重启ntp服务.

Centos配置示例如下图:

wKiom1bKf-aSGgOfAAD2h_tCb7U269.png

重要:若不需要NTP服务,请关闭NTP服务,需要同步时间使用命令同步:

#ntpdate 192.168.100.254  && hwclock --systohc

可以把这条命令加到crontab中,定期执行

*/30 * * * * ntpdate 192.168.100.254  && hwclock –systohc  > /dev/null 2>&1 ##每30分钟同步一次,并同步硬件时间

 其他加固:
1. 把NTP服务器升级
2. 关闭现在NTP服务的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”选项
3. 在网络出口封禁 UDP 123 端口
二、防御NTP反射和放大攻击
1. 由于这种攻击的特征比较明显,所以可以通过网络层或者借助运营商实施ACL来防御
2. 使用防DDoS设备进行清洗

以上解决方案,对于我来说:
1、关闭现在NTP服务的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”选项:
实践证明这个方法是非常有效的!

2、在网络出口封禁 UDP 123 端口:
因为很多设备需要向这台被攻击的服务器进行时钟同步,所以封禁UDP 123端口对我来说是不现实的。

3、通过网络层或者借助运营商实施ACL来防御:
因为涉及生产系统,而且在不精通防火墙、交换机的情况下,没有考虑增加ACL规则策略来防御NTP攻击。

希望看到的同行们能给出更好的意见,欢迎你们给提供更好的解决方案!

Tag标签: 服务器   方法  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规