前言:
首先說明下什麼是反射放大***?
NTP是用UDP傳輸的,所以可以僞造源地址。
NTP協議中有一類查詢指令,用短小的指令即可令服務器返回很長的信息。
放大***就是基於這類指令的。
比如,小明以吳一帆的名義問李雷“我們班有哪些人?” 李雷就回答吳一帆說“有誰誰誰和誰誰誰……”(幾百字)
那麼小明就以8個字的成本,令吳一帆收到了幾百字的信息,所以叫做放大***。
網絡上一般NTP服務器都有很大的帶寬,***者可能只需要1Mbps的上傳帶寬欺騙NTP服務器,即可給目標服務器帶來幾百上千Mbps的***流量,達到借刀殺人的效果。所以現在新的ntpd已經可以通過配置文件,關掉除時間同步以外的查詢功能。而時間同步的查詢和返回大小相同(沒記錯的話),所以沒辦法用作放大***。
下面闡述一下ntp服務器異常情況:
ntp服務器爲物理服務器,內網和外網各一個網卡,直接接在接入交換機。
互聯網流量高,通過查看交換機端口流量,發現 ntp服務器所連接的接入交換機端口流量異常,shutdown該端口,流量正常。下圖爲春節期間 互聯網流量圖
通過分析,
這次的******總結起來有二點原因:
1. 防火牆沒有起作用,ACL策略有沒有配置,暴漏於公網的主機必須限制訪問網段;
2. 駐地雲有沒有抗DDOS***的等相關安全設備,暴漏於公網的主機必須及時做安全加固;
解決方法:
被***的數據端口:UDP 123端口。
一、加固NTP服務:
修改配置:vi /etc/ntp.conf #說明:此ntp服務器系統爲centos5.5系統,其他系統路徑可能不同。
1.首先默認拒絕client所有的操作,代碼:
restrict default kod nomodify notrap nopeer noquery #或restrict default ignore
restrict -6 default kod nomodify notrap nopeer noquery #拒絕 IPv6 的用戶
2. 然後允許本機地址一切的操作,代碼:
restrict 127.0.0.1
restrict -6 ::1 # IPv6,
3.然後允許局域網內某個IP段能否進行時間同步操作,代碼:
restrict 10.120.189.0 mask 255.255.255.0 nomodify
4.重啓ntp服務.
Centos配置示例如下圖:
重要:若不需要NTP服務,請關閉NTP服務,需要同步時間使用命令同步:
#ntpdate 192.168.100.254 && hwclock --systohc
可以把這條命令加到crontab中,定期執行
*/30 * * * * ntpdate 192.168.100.254 && hwclock –systohc > /dev/null 2>&1 ##每30分鐘同步一次,並同步硬件時間
其他加固:
1. 把NTP服務器升級
2. 關閉現在NTP服務的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”選項
3. 在網絡出口封禁 UDP 123 端口
二、防禦NTP反射和放大***
1. 由於這種***的特徵比較明顯,所以可以通過網絡層或者藉助運營商實施ACL來防禦
2. 使用防DDoS設備進行清洗
以上解決方案,對於我來說:
1、關閉現在NTP服務的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”選項:
實踐證明這個方法是非常有效的!
2、在網絡出口封禁 UDP 123 端口:
因爲很多設備需要向這臺被***的服務器進行時鐘同步,所以封禁UDP 123端口對我來說是不現實的。
3、通過網絡層或者藉助運營商實施ACL來防禦:
因爲涉及生產系統,而且在不精通防火牆、交換機的情況下,沒有考慮增加ACL規則策略來防禦NTP***。
希望看到的同行們能給出更好的意見,歡迎你們給提供更好的解決方案!