CentOS上NTP服务的DDOS攻击解决办法

最新推荐文章于 2024-02-01 18:15:13 发布
最新推荐文章于 2024-02-01 18:15:13 发布
阅读量1.1w 收藏 3
点赞数 1
分类专栏: Linux/Unix/FreeBSD 文章标签: linux ddos攻击 服务器 网络 NTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blueheart20/article/details/52022945
版权

引言: 在网络上,Linux服务器大行其道,但是也备受攻击。本文将描述在实际中碰到的NTP攻击问题以及相应的解决办法。

1. 场景描述

     Aliyun上的ECS一台,过一段时间,频繁报警,说是流量过大,遭到了DDOS攻击,服务将被隔离,并停止响应服务一段时间,进行流量清晰。 总之,服务被DDOS搞挂了,不可用。

2.  分析

    通过提交工单,获取了访问的日志信息cap文件。打开之后,看到了大量的NTP服务信息:

19	0.000140	188.162.1.140	115.29.44.161	NTP	482	NTP Version 2, private
 

   经过基于端口和进程的查找,都是基于123端口的连接请求大量占用资源, 而123端口是NTP服务的端口,故基本确定是NTP服务被外部反复请求造成的。

3.  何为NTP?

    NTP服务器【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。时间按NTP服务器的等级传播。按照离外部UTC源的远近把所有服务器归入不同的Stratum(层)中。

   参考信息; http://baike.baidu.com/link?url=y5y33eP0oLaSRg6pPMGDM6i-KPDxHwAQuHh84SAn_JBayZswqUEt2fWSadUrMn3uu7MeVA-ZCib6wCDCrqSA8K

4.  如何来解决:

服务器现象:

由于您机器上的服务配置不当,导致被黑客利用进行DDOS攻击,表现为机器对外带宽占满,使用抓包工具,可以看到大量同一源端口的包对外发出。

Linux系统:

加固NTP服务:

1、通过Iptables配置只允许信任的IP,访问本机的UDP的123端口,修改配置文件执行echo "disable monitor" >> /etc/ntp.conf,然后重启NTP服务,service ntpd restart。

2、建议您直接关闭掉NTP服务,执行service ntp stop,并禁止其开机自启动执行chkconfig ntpd off。

 

加固Chargen服务:

1、通过Iptables配置中允计信任的IP,访问本机的UDP的19端口。

2、建议您直接关闭掉chargen服务,编辑配置文件 "/etc/inetd.conf",使用#号注释掉chargen服务,重启inetd。 

Windows系统:

加固Simple tcp/ip服务:

1、通过防火墙配置,只允许信任的IP,访问本机UDP、TCP的19、17端口。

2、我们建议您直接如下图配置关闭该服务,并禁止自启动。

 

WEB应用的加固:

Wordpress的Pingback:

1、您可以通过增加Wordpress插件来阻止Pinback被利用,加入如下的过滤器:

add_filter( ‘xmlrpc_methods’, function( $methods ) {
   unset( $methods[‘pingback.ping’] );
   return $methods;
} );

2、我们建议您,直接删除文件xmlrpc.php。

5. 参考资料:

  •     https://help.aliyun.com/knowledge_detail/37527.html
bladestone
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centos8 使用 chrony 作为 NTP 服务器.doc
02-05
Centos8不在直接使用ntp,而是使用chrony作为时间同步,chrony既可以当服务器端广播时间,又可以作为客户端同步时间。
CentOS 7 搭建ntp时钟服务器的步骤详解
01-10
前言  NTP 网络时间协议用来同步网络上不同主机的系统时间。你管理的所有主机都可以和一个指定的被称为 NTP 服务器的时间服务器同步它们的时间。而另一方面,一个 NTP 服务器会将它的时间和任意公共 NTP 服务器,或者你选定的服务器同步。由 NTP 管理的所有系统时钟都会同步精确到毫秒级。 在公司环境中,如果他们不想为 NTP 传输打开防火墙,就有必要设置一个内部 NTP 服务器,然后让员工使用内部服务器而不是公共 NTP 服务器。在这篇文章中,我们会介绍在CentOS 7 搭建ntp时钟服务器的步骤,一起来看看吧。 服务器 : 192.168.137.3 客户机:  192.168.1
centos系统ddos攻击
最新发布
weixin_48387686的博客
02-01 1069
centos系统ddos攻击,使用hping3和ab测试攻击模拟攻击。
centos6NTP服务器安装配置
05-13
centos6NTP服务器安装配置,附详细配置项及说明。
centos7安装ntp服务所需rpm包
12-08
资源解压后有三个rpm包,下载后执行下方指令,即可安装ntp时间同步服务(此为官网最新版本) rpm -ivh ntp-4.2.6p5-29.el7.centos.x86_64.rpm ntpdate-4.2.6p5-29.el7.centos.x86_64.rpm autogen-libopts-5.18-5.el7.x86_64.rpm
Centos 7.4服务器时间同步配置方法【基于NTP服务
01-10
本文实例讲述了Centos 7.4服务器时间同步配置方法。分享给大家供大家参考,具体如下: 1. yum 安装 NTP服务器 #yum -y install ntp 2. 启动ntp服务 #systemctl start ntpd 3. 设置开机自启 #systemctl enable ntpd 4. 修改启动参数,增加-g -x参数,允许ntp服务在系统时间误差较大时也能正常工作 #vi /etc/sysconfig/ntpd OPTIONS= -g -x 5. 读取当前时间 #timedatectl 6. 设置时区为亚洲/上海 #timedatectl set-t
关闭ntp服务monitor monlist,解决漏洞CVE-2013-5211
lf_she的博客
08-05 2766
漏洞报告显示: Medium (CVSS: 5.0) NVT: NTP Monlist Feature Enabled References cve: CVE-2013-5211 Summary NTP.org’s ntpd is prone to a remote denial-of-service vulnerability because it fails to properly handle certain incoming network packets. Solutio
NTP服务被利用做流量攻击以及检测预防手段
收集盒 Book box
10-30 8134
被攻击服务器相关配置: ip: eth0: 172.28.9.2 eth1: 192.168.0.2 eth3: 外网IP 某一天发现这台WEB服务器流量一直很高。 开始一直以为是WEB服务的流量很高,根本没往NTP服务那方面想。 因为我设置NTP服务的时候就有考虑到安全问题。 检测过程: #dstat -N eth3 可以发现发送流量非常大。 后面还用了
CentOS7中使用ntp服务同步时间
bang152101的博客
03-10 875
简单记录使用ntpcentos7进行实践同步。 在安装fabric时,如果虚拟机之间实践差距太大就会导致异常,虽然可以使用命令直接修改时间,但考虑到后期维护还是选择使用ntp来同步时间。 本配置使用五台虚拟机演示: IP 用途 172.17.0.82 ntp客户端:与内部ntp服务器(85)同步时间 172.17.0.83 ntp客户端:与内部ntp服务器(85)同步时间...
NTP服务放大攻击的解决办法
weixin_34107955的博客
05-08 841
什么是NTP服务网络时间协议NTP(Network Time Protocol)是用于互联网中时间同步的标准互联网协议。NTP服务器通过NTP服务网络上的计算机或其他设备提供标准的授时服务,以保证这些服务系统的时钟能够同步。通常NTP服务使用UDP 123端口提供标准服务。 什么是NTP服务放大攻击? 标准NTP 服务提供了一个 monlist查询功能,也被称为MON_GETLIST,...
【RL-TCPnet网络教程】第29章 NTP网络时间协议基础知识
weixin_30758821的博客
08-31 137
第29章 NTP网络时间协议基础知识 本章节为大家讲解NTP (Network Time Protocol,网络时间协议)和SNTP(简单网络时间协议,Simple Network Time Protocol)的基础知识,方便后面章节的实战操作。 (本章的知识点主要整理自网络) 29.1 初学者重要提示 29.2 NTP基础知识参考资料 29.3 NTP基础知...
DisableMonitor-3.0
05-11
DisableMonitor 3.1 轻松禁用,启用或更改Mac上连接的所有显示器的分辨率。 切换镜像模式(自v3.1起) 这是的分支 在BIG SUR中使用最新的BIG SUR更新 主要变化 Catalina 10.15支持和Big Sur Intel支持11.1 即时启用/禁用显示,不闪烁 删除越野车管理菜单 过滤分辨率可保持60hz和HiDpi分辨率 添加法语支持 在菜单中添加切换镜像命令
qemu常用参数选项说明
热门推荐
Quard_D的博客
03-03 1万+
qemu常用参数选项说明 在我的系列博客《基于qemu-riscv从0开始构建嵌入式linux系统》中使用qemu项目一步步构造搭建了嵌入式linux系统,而其中在run.sh中qemu的启动参数选项非常多且繁杂,因此本文将对其进行归纳整理。 设备类型(-machine/-M) 在qemu中,不同的指令集的模拟器会编译成不同的可执行文件,诸如:qemu-system-x86_64/qemu-system-aarch64/qemu-system-arm/qemu-system-mips/qemu-system
How to disable AXI Monitor VIP protocol checking
定戒慧
12-13 1277
How to disable AXI Monitor VIP protocol checking
Apache Metron从入门到落灰
oMaFei的博客
08-06 761
p>之前在安全方面有大数据处理方面需求,所以调研了几款处理引擎框架,就看到Apache Metron了,结果发现网上没几个文章写这个的。。。。 其中涉及到的组件会比较多,有部署软件用的Ambari(也可以用cdh)、zookeeper、Storm、HADOOP、KAFKA和数据处理的Nifi 先贴一些看下来总结的流程 Metron数据处理流程 1.Metron介绍 Metron是一...
linux ntp 'ntp_request.c'远程拒绝服务漏洞,NTP 'ntp_request.c'远程拒绝服务漏洞
weixin_35337252的博客
07-02 323
NTP 4.2.7p26之前版本的ntpd中,ntp_request.c的monlist允许远程攻击者通过伪造的REQ_MON_GETLIST或REQ_MON_GETLIST_1请求,利用发布日期:2013-12-30更新日期:2014-01-09受影响系统:NTP NTP 描述:-----------------------------------------------------------...
NTP放大攻击
m0_60571990的博客
11-07 568
NTP放大攻击
windows 2012 R2 及 centos 7.X 禁用不必要服务
glossary95的专栏
09-19 3592
NTP服务器引起的上行带宽超大
weixin_30244681的博客
02-14 316
2014年2月11日,centos服务器突然上行带宽8M,耗光所有带宽,不能远程SSH登录维护。 到机房直接使用界面登录,安装iptraf,运行后选择 Statistical breakdowns —— By TCP/UDP port,观察流量, 继续查看相关端口的进程号 lsof -Pnl +M –i4 查看进程的启动信息 ll /proc/1762 发现是NTP...
centos8 NTp服务
04-08
CentOS 8 提供了 NTP 服务来同步系统时间,您可以使用以下命令安装 NTP 服务:sudo yum install ntp -y。安装完成后,您可以使用以下命令启动 NTP 服务:sudo systemctl start ntpd。如果您想在系统启动时自动启动 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值