Please select your country or region!

 Hotline:13588888888

信息宁静必须懂的NTP服务放大攻击以及检测预防手段,值得收藏

本文摘要:概述今天主要先容一下NTP服务放大攻击以及常用的检测预防手段。一、什么是NTP服务放大攻击?NTP放大攻击是一种基于反射的体积漫衍式拒绝服务(DDoS)攻击,其中攻击者使用网络时间协议(NTP)服务器功效,以便用一定数量的UDP流量压倒目的网络或服务器,使通例流量无法会见目的及其周围的基础设施。

lol赛事押注

概述今天主要先容一下NTP服务放大攻击以及常用的检测预防手段。一、什么是NTP服务放大攻击?NTP放大攻击是一种基于反射的体积漫衍式拒绝服务(DDoS)攻击,其中攻击者使用网络时间协议(NTP)服务器功效,以便用一定数量的UDP流量压倒目的网络或服务器,使通例流量无法会见目的及其周围的基础设施。尺度NTP 服务提供了一个 monlist查询功效,也被称为MON_GETLIST,该功效主要用于监控 NTP 服务器的服务状况,当用户端向NTP服务提交monlist查询时,NTP 服务器会向查询端返回与NTP 服务器举行过时间同步的最后 600 个客户端的 IP,响应包根据每 6 个 IP 举行支解,最多有 100 个响应包。由于NTP服务使用UDP协议,攻击者可以伪造源发地址向NTP服务举行monlist查询,这将导致NTP服务器向被伪造的目的发送大量的UDP数据包,理论上这种恶意导向的攻击流量可以放大到伪造查询流量的100倍。

二、NTP放大攻击四个步骤攻击者使用僵尸网络将带有欺骗IP地址的UDP数据包发送到启用了monlist下令的NTP服务器。每个数据包上的欺骗IP地址指向受害者的真实IP地址。每个UDP数据包使用其monlist下令向NTP服务器发出请求,从而发生大量响应。

然后,服务器使用效果数据响应欺骗地址。目的的IP地址吸收响应,周围的网络基础设施因流量泛滥而变得不堪重负,导致拒绝服务。由于攻击流量看起来像来自有效服务器的正当流量,因此很难在不阻止真正NTP服务器正当运动的情况下减轻此类攻击流量。由于UDP数据包不需要握手,因此NTP服务器将向目的服务器发送大量响应,而不验证请求是否可信。

这些事实与内置下令相联合,默认情况下发送大量响应,使NTP服务器成为DDoS放大攻击的极好反射源。三、如何检察是否遭受NTP放大攻击?如果网络上检测到大流量的UDP 123端口的数据,就可以确认正在遭受此类攻击。四、如何防范NTP放大攻击?1、linux系统升级将系统中的NTP服务升级到 ntpd 4.2.7p26 或之后的版本,因为 ntpd 4.2.7p26 版本后,服务默认是关闭monlist查询功效的。2、关闭现在 NTP 服务的 monlist 功效在ntp.conf设置文件中增加(或修改)“disable monitor”选项,可以关闭现有NTP服务的monlist功效。

修改并生存设置文件之后,重启ntpd服务。3、在网络出口封禁 UDP 123 端口在攻击发生时,通过网络设备的ACL抛弃UDP 123端口的数据包。放大反射 Dos 攻击由 CVE-2013-5211 所致。

lol赛事押注

且这毛病是与 molist 功效有关。ntpd 4.2.7p26 之前的版本都市去响应 NTP 中的 mode7 monlist 请求。

ntpd-4.2.7p26 版本后, monlist 特性已经被克制,取而代之的是 mrulist 特性,使用 mode6 控制报文,而且实现了握手历程来阻止对第三方主机的放大攻击。以为有用的朋侪多帮助转发哦!后面会分享更多devops和DBA方面的内容,感兴趣的朋侪可以关注下~。


本文关键词:信息,宁静,必须,懂的,NTP,服务,放大,攻击,以及,lol赛事押注

本文来源:lol赛事押注-www.pacific-sd.com

Copyright © 2022. All rights reserved