136 views

NTP放大DDoS攻击正在飙升。你有你的防御系统吗?

By | 2019年1月28日

在他最近的“每月攻击视频博客系列”中,斯蒂芬盖茨谈到了NTP反射流量,这是用于对不幸的受害者发起DDoS攻击的最新技术。这当然值得注意。自2014年初以来,使用这种方法的攻击次数激增,主要是因为在网络犯罪分子使用的地下世界中有一个新的NTP反射/放大工具包。像这样的工具包促进了网络犯罪即服务,似乎很多攻击者都在购买。

NTP代表网络时间协议,是一种已经存在了几十年的协议,它在互联网上无处不在。它是一种机制,可以同步每个类型的服务器,路由器,PC等互联网连接设备上的时钟。它可以在任何地方实现。这是它易于利用的另一个原因。

NTP服务器受到不同类型的滥用,其中之一是反复查询服务器并让它将信息发送到目标计算机。问题是,响应原始查询而发送到目标计算机的流量远大于查询本身的大小。一个简单的36字节查询可以返回22,000字节的响应。DDoS攻击者欺骗查询似乎来源的IP地址,以便将大量响应发送给不知情的受害者。有足够的查询,响应可能是完全压倒性的。

如果攻击者使用僵尸网络向NTP服务器发送请求并将其响应回单个目标计算机,则这是一种反射攻击。“源”地址是欺骗性的,它被设置为目标受害者的实际IP地址。当大量的大型回复被发送到受害计算机时,其系统就会不堪重负。

使这种情况成为防御挑战的原因是响应流量似乎是合法的。因此防火墙只会让它通过。它需要在防火墙前采用更复杂的解决方案来了解攻击流量的性质并阻止它。有关如何减轻NTP反射/放大攻击的建议,请查看Stephen的视频:

即使您的组织不是此类DDoS攻击的目标受害者,您也可能因为“附带损害”而容易受到攻击。由于流量可能非常大 – 观察到的攻击速度已达到400 Gbps – 它可能会完全压倒ISP的带宽如果没有缓解措施。为了安心,请与您的ISP联系,以确保公司拥有经过验证的解决方案,以便在发生NTP反射/放大攻击时保持可用性。

发表评论

电子邮件地址不会被公开。 必填项已用*标注