NTP放大是一种分布式拒绝服务 (DDoS) 攻击，攻击者利用可公开访问的网络时间协议 (NTP)服务器，以用户数据报协议(UDP)流量对目标站点服务器进行大量流量攻击。使常规流量无法访问目标及其周围的基础设施。

网络时间协议 (NTP)是最早的网络协议之一，对于由互联网连接的设备起到同步其时钟的作用。除了时钟同步之外，更旧版本的NTP还支持监视服务，管理员能够对一个给定的NTP服务器进行流量监测。这个名为”monlist”的命令可向请求者发送连接到查询服务器的最后600个主机列表。

在多数基本类型的NTP放大攻击中，攻击者重复向NTP服务器发送 “get monlist”请求，以受害者的服务器IP地址作为请求服务器的IP地址。NTP服务器通过向被欺骗的IP地址发送该列表的方式进行响应。

这种响应远远大于请求的数量，放大了指向目标服务器的流量，并最终导致对合法请求服务的无法使用。

NTP放大攻击如何工作？

所有放大攻击都利用了攻击者与目标Web资源之间的带宽成本差异。当在许多请求中放大成本差异时，由此产生的流量可能会破坏网络基础设施。通过发送导致大量响应的小查询，恶意用户可以从更少的内容获得更多。当具有在每个机器人这个倍数乘以僵尸网络进行类似的请求，攻击者是从检测既混淆和收获大大提高了攻击流量的好处。

NTP放大本质上属于一种反射攻击。反射攻击就是诱骗服务器响应一个具有欺骗性的IP地址。攻击者发送一个伪造IP地址（受害者的地址）的数据包，而服务器对该地址做出响应。

反射攻击非常危险，但当它们被放大后就会变得更加危险。在这里，”放大” 是指诱骗一个与原来发送的数据包请求不成比例的服务器响应。在NTP放大的情况下，这是指”monlist”的大小，而不是原始数据包的大小。

在典型的DNS放大中，请求与响应的比率为70：1。这意味着控制了一台1Gbps速率的机器的攻击者可以有效地向目标服务器直接发送70Gbps的流量。

DNS洪水攻击与DNS放大攻击不同。与DNS泛洪不同，DNS放大攻击反映和放大不安全DNS服务器的流量，以隐藏攻击的起源并提高其有效性。DNS放大攻击使用带宽较小的设备向不安全的DNS服务器发出大量请求。这些设备对非常大的DNS记录提出了许多小请求，但是在发出请求时，攻击者伪造的返回地址是预期受害者的地址。放大允许攻击者仅使用有限的攻击资源来获取更大的目标。

在NTP放大攻击中，请求与响应比率的范围在20：1 和 200：1 之间，甚至更大。这意味着，任何获得了开放式NTP服务器（例如：利用Metasploit工具或来自开放式NTP项目的数据）列表的攻击者都可以轻松地发起一个高带宽、大容量的DDoS攻击。

网络时间协议旨在允许互联网连接的设备同步其内部时钟，并在互联网架构中发挥重要作用。通过利用在某些NTP服务器上启用的monlist命令，攻击者能够将其初始请求流量相乘，从而产生较大的响应。默认情况下，在旧设备上启用此命令，并使用已对NTP服务器发出的请求的最后600个源IP地址进行响应。来自其内存中具有600个地址的服务器的monlist请求将比初始请求大206倍。这意味着拥有1 GB互联网流量的攻击者可以提供200 GB以上的攻击 - 导致攻击流量大幅增加。

NTP放大攻击可以分为四个步骤：

由于攻击流量看起来像来自有效服务器的合法流量，因此很难在不阻止真正NTP服务器合法活动的情况下减轻此类攻击流量。由于UDP数据包不需要握手，因此NTP服务器将向目标服务器发送大量响应，而不验证请求是否可信。这些事实与内置命令相结合，默认情况下发送大量响应，使NTP服务器成为DDoS放大攻击的极佳反射源。

如何减轻NTP放大攻击？

缓解方法

像许多其他DDoS攻击一样，缓解NTP放大攻击也是一项挑战，因为来自NTP服务器的响应表面上貌似来自有效服务器的合法流量。

此外，DDoS流量的绝对值甚至能够轻而易举地淹没最具复原能力的网络基础设施。因此，可通过”预留空间”和”流量过滤”两种方法相结合的方式实现缓解。

对于运营网站或服务的个人或公司，缓解选项是有限的。这是因为个人的服务器虽然可能是目标，但却不会感受到容量耗尽攻击的主要影响。由于产生了大量流量，服务器周围的基础设施会产生影响。Internet服务提供商（ISP）或其他上游基础架构提供商可能无法处理传入流量而不会变得不堪重负。结果，ISP可能将所有流量黑洞到目标受害者的IP地址，保护自己并使目标站点服务器无法使用。缓解策略主要是预防性互联网基础设施解决方案。

通过利用其全局清洗网络来防御容量型DDoS威胁，根据需要调整规模，以吸收和转移多个10Gbps DDoS 威胁–包括NTP放大攻击。确保DDoS流量在客户网络之外被过滤，而不会对其目标造成任何伤害。

禁用monlist - 减少支持monlist命令的NTP服务器的数量。

修补monlist漏洞的简单解决方案是禁用该命令。默认情况下，版本4.2.7之前的所有版本的NTP软件都是易受攻击的。通过将NTP服务器升级到4.2.7或更高版本，该命令将被禁用，从而修补漏洞。如果无法升级，遵循US-CERT说明将允许服务器的管理员进行必要的更改。

源IP验证 - 阻止欺骗性数据包离开网络。

由于攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址，因此降低基于UDP的放大攻击有效性的关键组件是互联网服务提供商（ISP）拒绝任何内部流量欺骗的IP地址。如果从网络内部发送数据包的源地址使其看起来像是在网络外部发起的，则可能是一个欺骗性数据包并且可能被丢弃。强烈建议所有提供商实施入口过滤，有时会联系到不知情地参与DDoS攻击（违反BCP38）并帮助他们实现漏洞的ISP。

在NTP服务器上禁用monlist并在目前允许IP欺骗的网络上实现入口过滤的组合是在到达其预期网络之前阻止此类攻击的有效方法。

我们公司应对NTP放大攻击的方法

通过适当配置的防火墙和足够的网络容量，阻止NTP放大攻击等反射攻击是微不足道的。虽然攻击将针对单个IP地址，但我们的Anycast网络会将所有攻击流量分散到不再具有破坏性的程度。本公司能够利用我们的规模优势在多个数据中心之间分配攻击的数量，平衡负载，从而不会中断服务，攻击永远不会破坏目标服务器的基础架构。最近我们的DDoS缓解系统检测到简单反射攻击网络成功地减轻了所有这些攻击。欢迎访问我司香港机房防攻击方案服务了解。