什么是 NTP 放大攻擊？

NTP 放大攻擊是一種基于反射的容量耗盡分布式拒絕服務(wù)（DDoS）攻擊。在這種攻擊中，攻擊者利用一種網(wǎng)絡(luò)時(shí)間協(xié)議 （NTP） 服務(wù)器功能，發(fā)送放大的 UDP 流量，使目標(biāo)網(wǎng)絡(luò)或服務(wù)器不堪重負(fù)，導(dǎo)致正常流量無法到達(dá)目標(biāo)及其周圍基礎(chǔ)設(shè)施。

NTP 放大攻擊的工作原理

所有放大攻擊都利用攻擊者和目標(biāo) Web 資源之間的帶寬消耗差異。當(dāng)消耗差異經(jīng)過多次請(qǐng)求而被放大時(shí)，所產(chǎn)生的流量可導(dǎo)致網(wǎng)絡(luò)基礎(chǔ)設(shè)施中斷。通過發(fā)送小型請(qǐng)求來導(dǎo)致大規(guī)模響應(yīng)，惡意用戶就能達(dá)到四兩撥千斤的效果。當(dāng)通過某個(gè)僵尸網(wǎng)絡(luò)中的每個(gè)機(jī)器人發(fā)出類似請(qǐng)求來使這種放大效果倍增時(shí)，攻擊者既能躲避檢測(cè)，又能收獲攻擊流量大增的好處。

DNS 洪水攻擊不同于 DNS 放大攻擊。與 DNS 洪水攻擊不同，DNS 放大攻擊反射并放大不安全 DNS 服務(wù)器的流量，以便隱藏攻擊的源頭并提高攻擊的有效性。DNS 放大攻擊使用連接帶寬較小的設(shè)備向不安全的 DNS 服務(wù)器發(fā)送無數(shù)請(qǐng)求。這些設(shè)備對(duì)非常大的 DNS 記錄發(fā)出小型請(qǐng)求，但在發(fā)出請(qǐng)求時(shí)，攻擊者偽造返回地址為目標(biāo)受害者。這種放大效果讓攻擊者能借助有限的攻擊資源來破壞較大的目標(biāo)。

NTP 放大攻擊與 DNS 放大攻擊非常相似，就好比是一個(gè)心懷惡意的青少年打電話給一家餐廳說“我要菜單上的東西每樣來一份，請(qǐng)給我回電話并告訴我整個(gè)訂單的信息”。當(dāng)餐廳詢問回叫號(hào)碼時(shí)，他卻給出目標(biāo)受害者的電話號(hào)碼。然后，目標(biāo)會(huì)收到來自餐廳的呼叫，接到他們未請(qǐng)求的大量信息。

網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）旨在允許連接到互聯(lián)網(wǎng)的設(shè)備同步其內(nèi)部時(shí)鐘，在互聯(lián)網(wǎng)架構(gòu)中發(fā)揮重要作用。通過利用某些 NTP 服務(wù)器啟用的 monlist 命令，攻擊者能夠成倍放大其初始請(qǐng)求流量，導(dǎo)致大型響應(yīng)。這個(gè)命令在一些較老的設(shè)備上默認(rèn)啟用，返回發(fā)送到 NTP 服務(wù)器的請(qǐng)求中的最后 600 個(gè)源 IP 地址。針對(duì)服務(wù)器內(nèi)存中 600 個(gè)地址的 monlist 請(qǐng)求將比初始請(qǐng)求大 206 倍。這意味著，攻擊者使用 1 GB 互聯(lián)網(wǎng)流量就能發(fā)動(dòng)一次超過 200 GB 的攻擊——所產(chǎn)生的攻擊流量大幅增加。

NTP 放大攻擊可分為四個(gè)步驟：

1. 攻擊者使用僵尸網(wǎng)絡(luò)將帶有偽造 IP 地址的 UDP 包發(fā)送到啟用了 monlist 命令的 NTP 服務(wù)器。每個(gè)包的偽造 IP 地址都指向受害者的真實(shí) IP 地址。
2. 每個(gè) UDP 數(shù)據(jù)包使用其 monlist 命令向 NTP 服務(wù)器發(fā)出請(qǐng)求，導(dǎo)致較大的響應(yīng)。
3. 然后，服務(wù)器用結(jié)果數(shù)據(jù)響應(yīng)欺騙性的地址。
4. 目標(biāo)的 IP 地址接收響應(yīng)，其周邊的網(wǎng)絡(luò)基礎(chǔ)設(shè)施被大量流量淹沒，從而導(dǎo)致拒絕服務(wù)。

由于攻擊流量看似來自有效服務(wù)器的正常流量，因此很難在不阻止實(shí)際 NTP 服務(wù)器進(jìn)行正?；顒?dòng)的情況下防護(hù)這種攻擊流量。由于 UDP 數(shù)據(jù)包不需要握手，因此 NTP 服務(wù)器將向目標(biāo)服務(wù)器發(fā)送較大的響應(yīng)，而無需驗(yàn)證請(qǐng)求是否真實(shí)。這些條件，加上在默認(rèn)情況下會(huì)發(fā)送較大響應(yīng)的內(nèi)置命令，使 NTP 服務(wù)器成為 DDoS 放大攻擊的高效反射來源。

如何防護(hù) NTP 放大攻擊？

對(duì)于運(yùn)行網(wǎng)站或服務(wù)的個(gè)人或公司來說，緩解選擇并不多。這是因?yàn)?，盡管個(gè)人或公司的服務(wù)器可能是攻擊目標(biāo)，但其并非容量耗盡攻擊影響最大的地方。鑒于攻擊所產(chǎn)生的大量流量，服務(wù)器周圍的基礎(chǔ)設(shè)施感受到影響?；ヂ?lián)網(wǎng)服務(wù)提供商（ISP）或其他上游基礎(chǔ)設(shè)施提供商可能無法處理傳入流量而不堪重負(fù)。因此，ISP 可能會(huì)將向受害者 IP 地址發(fā)送的所有流量傳送到一個(gè)黑洞路由，以保護(hù)自己并將目標(biāo)站點(diǎn)下線。除了象 Cloudflare DDoS 防護(hù)這樣的異地保護(hù)服務(wù)外，緩解策略大多是預(yù)防性的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施解決方案。

禁用 monlist – 減少支持 monlist 命令的 NTP 服務(wù)器的數(shù)量。

修補(bǔ) monlist 漏洞的一個(gè)簡(jiǎn)單解決方案是禁用該命令。默認(rèn)情況下，4.2.7 版本之前的所有 NTP 軟件都容易受到攻擊。將 NTP 服務(wù)器升級(jí)到 4.2.7 或更高版本，該命令即被禁用，即可修補(bǔ)漏洞。如果無法升級(jí)，則服務(wù)器的管理員可遵循 US-CERT 的說明進(jìn)行必要的更改。

源 IP 驗(yàn)證- – 阻止欺騙性數(shù)據(jù)包離開網(wǎng)絡(luò)。

由于攻擊者僵尸網(wǎng)絡(luò)發(fā)送的 UDP 請(qǐng)求必須有一個(gè)偽造為受害者 IP 地址的源 IP 地址，對(duì)于基于 UDP 的放大攻擊，降低其有效性的一個(gè)關(guān)鍵是互聯(lián)網(wǎng)服務(wù)提供商（ISP）拒絕帶有偽造 IP 地址的所有內(nèi)部流量。如果一個(gè)從網(wǎng)絡(luò)內(nèi)部發(fā)送的數(shù)據(jù)包帶有一個(gè)看起來像來自網(wǎng)絡(luò)外部的源地址，那么它就有可能是偽造數(shù)據(jù)包并可被丟棄。Cloudflare 強(qiáng)烈建議所有提供商實(shí)施入口過濾，并不時(shí)聯(lián)系無意中參與了 DDoS 攻擊（違反 BCP38 標(biāo)準(zhǔn)）的 ISP，幫助其了解自己的漏洞。

禁用 NTP 服務(wù)器上的 monlist 并在當(dāng)前允許 IP 欺騙的網(wǎng)絡(luò)上實(shí)施入口過濾，這是阻止此類攻擊到達(dá)其目標(biāo)網(wǎng)絡(luò)的有效方法。