本周6以来,川内多家idc发现来历不明的NTP请求,大小为8字节,而服务器的123端口会反馈给伪造的ip 480字节左右的数据,这是一种以小博大的、新型的洪水攻击。会耗尽客户的服务器带宽,导致整个交换网络和都充斥着无用的UDP数据包,请广大站长、服务器运维人员、网络管理员在你们的服务器、路由器、防火墙上面对UDP 123端口做好过滤。
临时解决方法:
Linux上:
iptables -A INPUT -p tcp –dport 123 -j DROP
iptables -A INPUT -p udp –dport 123 -j DROP
FreeBSD上:
ipfw add deny all from any to me 123
修正ntp配置文件:
ntp.conf 添加下面的内容,然后重启ntp服务
restrict default noquery nomodify notrap nopeer restrict -6 default noquery nomodify notrap nopeer
DERP Trolling的攻击者使用了前所未见的攻击手段:不是直接向目标网站发送海量请求数据,而是利用了运行网络时间协议(NTP)的时间同步服务器。
攻击者伪装成目标网站,向时间同步服务器发送请求,数十倍放大攻击火力——一个包含8字节的伪造请求可以导致同步服务器向受害者发送468字节的回应。安全专家Shawn Marck称,在12月以前NTP攻击几乎是闻所未闻。
这种放大攻击方法与DNS放大攻击有许多相似之处,比较容易防御,只需用过滤器过滤流量就能防止NTP放大攻击。该技术在许多方面类似DNS放大攻击, DNS反射攻击有助于加强DoS拒绝服务攻击的破坏性,因为发送到目标站点的响应比由攻击者发送的请求放大约50倍。
在新年内的第一周,NTP反射攻击占了DoS攻击流量的69%。Shawn Marck说,各个NTP攻击的平均大小为约每秒7.3G bps,比12月观察到的平均攻击流量高3倍。