NTP服务被利用做流量攻击以及检测预防手段

最新推荐文章于 2024-05-17 15:21:47 发布
最新推荐文章于 2024-05-17 15:21:47 发布
阅读量8.2k 收藏 3
点赞数
分类专栏: 安全防护

被攻击服务器相关配置:
ip:
eth0: 172.28.9.2
eth1: 192.168.0.2
eth3: 外网IP

某一天发现这台WEB服务器流量一直很高。
开始一直以为是WEB服务的流量很高,根本没往NTP服务那方面想。
因为我设置NTP服务的时候就有考虑到安全问题。

检测过程:
#dstat -N eth3
777

可以发现发送流量非常大。

后面还用了nethogs和iptraf两个流量分析软件进行了分析。

nethogs是检测进程的流量,但是检测不到UDP的流量,所以一开始也没想到是ntp的引起的。因为ntp用的是123的UDP端口。

iptraf是检测连接到服务器某个端口的流量
这里需要注意了:默认执行iptraf在上面窗口中只会显示TCP流量,而不会显示UDP流量,UDP流量会在下面快速闪现。所以一开始也没注意到是ntp引起的,因为UDP流量没排在上面。后面会讲怎么查看UDP流量。
3

可以先设置一下iptraf,开启按服务名显示,而不是显示端口号,比较直观。
#iptraf
configure

4

#iptraf -s eth3
这里一定要加上-s,才能显示UDP流量

5

这样就会看到ntp的流量非常高,从而可以判断是ntp服务而引起的。

再用#ntpdc -n -c monlist 外网IP
能查看到一堆IP同步过我的ntp服务。

 

查了一下ntp.conf,发现并没有什么不合理的地方。
ntp.conf

restrict default ignore
restrict 127.0.0.1
restrict -6 ::1
restrict 192.168.0.154
restrict 192.168.0.155

server 192.168.0.154
server 192.168.0.155

server 127.127.1.0
fudge 127.127.1.0 stratum 10

driftfile /var/lib/ntp/drift
broadcastdelay 0.008
authenticate no
keys /etc/ntp/keys

只开放了上一级提供NTP服务的IP地址。
后来回忆了一下,以前的配置文件没有这么严谨,所以当时我对这个配置文件做了修改了。但是当时为了不影响业务,并没有立即重启服务。

所以这次我立即重启ntp服务后,流量就恢复了正常。

 

注意:
如果有外网IP的服务器,有开ntp服务,restrict开放只能开放内网IP。

或者用iptables防火墙来做限制,比如拒绝从eth3外网访问ntp服务。

配置完ntp后,可以执行

#ntpdc -n -c monlist 外网IP

来检测,如果说超时,得不到数据,说明没问题。

 

 

知识点:

什么是NTP服务放大攻击?

标准NTP 服务提供了一个 monlist查询功能,也被称为MON_GETLIST,该功能主要用于监控 NTP 服务器的服务状况,当用户端向NTP服务提交monlist查询时,NTP 服务器会向查询端返回与NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。由于NTP服务使用UDP协议,攻击者可以伪造源发地址向NTP服务进行monlist查询,这将导致NTP服务器向被伪造的目标发送大量的UDP数据包,理论上这种恶意导向的攻击流量可以放大到伪造查询流量的100倍。

 

如何查看是否遭受NTP放大攻击?

如果网络上检测到大流量的UDP 123端口的数据,就可以确认正在遭受此类攻击。

 

如何防范NTP放大攻击?

1、linux系统升级办法:

升级服务程序版本

将系统中的NTP服务升级到 ntpd 4.2.7p26 或之后的版本,因为 ntpd 4.2.7p26 版本后,服务默认是关闭monlist查询功能的。

关闭服务的monlist查询功能:

首先查询问题主机的REQ_MON_GETLIST和REQ_MON_GETLIST_1请求是否可用。具体操作方法:

ntpq -c rv<localhost/remotehost>

ntpdc -c sysinfo<localhost/remotehost>

ntpdc -n -c monlist<localhost/remotehost>    能查询出同步过时间的主机

如果上述功能可用,可尝试通过修改ntp.conf文件解决问题,具体操作建议是在上述配置文件中增加下面的配置:

 

IPV4: restrict default ignore

IPv6: restrict -6 default ignore

/*允许发起时间同步的IP,与本服务器进行时间同步,但是不允许修改ntp服务信息,也不允许查询服务器的状态信息(如monlist)*/

另外,还可以配置限制访问命令,如:

restrict default noquery /*允许普通的请求者进行时间同步,但是不允许查询ntp服务信息*/

修改并保存配置文件之后,请重启ntpd服务。

 

2、windows系统的解决办法:

在ntp.conf配置文件中增加(或修改)“disable monitor”选项,可以关闭现有NTP服务的monlist功能。修改并保存配置文件之后,请重启ntpd服务。

 

3、网络防范:

在攻击发生时,通过网络设备的ACL丢弃UDP 123端口的数据包。

放大反射 Dos 攻击由 CVE-2013-5211 所致。且这漏洞是与 molist 功能有关。ntpd 4.2.7p26 之前的版本都会去响应 NTP 中的 mode7 monlist 请求。ntpd-4.2.7p26 版本后, monlist 特性已经被禁止,取而代之的是 mrulist 特性,使用 mode6 控制报文,并且实现了握手过程来阻止对第三方主机的放大攻击。

因为 Ubuntu 14.04 默认的 ntpd 版本是 4.2.6p5 ,所以我们可以用禁止 monitor 的方法,直接修改 /etc/ntp.conf 即可

echo “disable monitor” >> /etc/ntp.conf

7禧
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
NTP放大攻击研究发现
知柯信安
12-06 1028
声明: 本文内容仅供学术研究,不作为违法乱纪使用,如有出现违规行为皆与作者、编辑、机构无关。 一、介绍 NTP放大攻击是DDOS的一种形式,它使用NTP服务器将小请求转换为大响应,然后将其定向到受害计算机。 NTP放大使用MONLIST命令。MONLIST命令指示NTP服务器使用使用该服务器的最后600个IP地址进行响应。通过欺骗MONLIST请求的源IP地址,它将使NTP服务器对欺骗的IP地址进行数据响应。您可以想象使用大量NTP服务器。如果所有邮件都发送了相同的MONLIST请求,其中欺骗者IP被欺骗为
NTP攻击
qq_73992463的博客
11-02 892
NTP(Network Time Protocol)攻击是一种利用网络时间协议进行攻击的方式,旨在通过发送大量的NTP请求来超载目标服务器或网络,从而导致服务不可用或网络拥塞。我们将全面介绍NTP攻击,包括其定义、攻击方式、攻击架构、防护措施以及与其他攻击方式相比的优势和缺点。
DDOS中的NTP放大攻击危害为什么这么大,如何进行有效的防护
最新发布
HoewDec的博客
05-17 1008
在1992 年3月,NTP v3版本RFC-1305问世,该版本总结和综合了NTP先前版本和DTSS,正式引入了校正原则,并改进了时钟选择和时钟滤波的算法,而且还引入了时间消息发送的广播模式,这个版本取代了NTP的先前版本。比如说德迅DDoS防护服务,是以省骨干网的DDoS防护网络为基础,结合自研的DDoS攻击检测和智能防护体系,向您提供可管理的DDoS防护服务,自动快速的缓解网络攻击对业务造成的延迟增加,访问受限,业务中断等影响,从而减少业务损失,降低潜在DDoS攻击风险。NTP的防御措施是怎么样的呢?
NTP DDOS攻击
weixin_33738555的博客
04-18 422
客户端系统会ping到NTP服务器来发起时间请求更换,同步通常每隔10分钟发生; 从NTP服务器发回到客户端的数据包可能比初始请求大几百倍。相比之下,通常用于放大攻击中的DNS响应被限制仅为8倍的带宽;  NTP DDoS攻击:昙花一现还是会持续? 与NTP相比 企业更应该担心典型的SYN洪水攻击,因为SYN数据包在网络上更为常见。即使是专门的DDoS防护服务供应商也非常难以区分恶意流量和...
NTP服务放大攻击的解决办法
weixin_34107955的博客
05-08 851
什么是NTP服务? 网络时间协议NTP(Network Time Protocol)是用于互联网中时间同步的标准互联网协议。NTP服务器通过NTP服务向网络上的计算机或其他设备提供标准的授时服务,以保证这些服务系统的时钟能够同步。通常NTP服务使用UDP 123端口提供标准服务。 什么是NTP服务放大攻击? 标准NTP 服务提供了一个 monlist查询功能,也被称为MON_GETLIST,...
ntp流量放大攻击分析
weixin_30732487的博客
12-13 550
最近,听说挂在网络上的设备进行时间同步成功率低,YS需要架设自己的NTP服务器,这玩意第一时间能让人想到NTP流量放大攻击,这也是一种比较古老的攻击方式,检测了一下发现所使用的OS默认已经进行了加固,因此不存在这个问题,虽然如此,决定还是使用PPT总结记录一下。 转载于:https://www.cnblogs.com/fisho...
windowserver2019配置NTP服务
04-08
Window Server 2019配置NTP服务是确保企业网络中所有计算机时间同步的重要步骤,这对于网络认证、日志记录和安全操作等都是至关重要的。NTP(Network Time Protocol)是一种用于同步网络中不同计算机时间的协议。在...
ntp服务检测工具-v0.1
08-15
超好用的ntp服务检测工具
阿里云-NTP服务器部署与测试【超详细】
03-23
阿里云NTP服务器的部署涉及到Linux系统的硬件时钟和系统时钟管理,以及NTP服务的配置与测试。本指南将详细讲解这一过程。 一、Linux的硬件时钟和系统时钟 硬件时钟是计算机BIOS中的时钟系统,它在电源关闭时仍然...
linux 构建ntp 服务
01-07
安装ntp程序后服务器即使ntp服务器端又是ntp客户端,启用了ntp服务,同时在本机执行ntpdate 同步时间会出现问题”the NTP socket is in use, exiting”,解决办法是停止本机的ntp服务程序。 NTP (server,client) ...
内网常用工具,设置更改ntp时间服务批处理
03-25
外网正常都有时间服务地址,不需要重复配置,可用此工具修复时间服务。 此工具用于内网较多,域控下发批量处理操作: 其中批处理的ntp.ntsc.ac.cn为国家时间授权服务器,可改成你内网的时间服务器域名或ip地址。用...
见过NTP服务,没见过网络流量到200M左右的NTP服务
weixin_34194317的博客
02-11 111
XXX,看来可能是NTP.CONF的文件配置错误所致了。 附上一段查看网络流量的SHELL。(好像只针对ETH0,如果要看其它的,还需要修改) #!/bin/bash typeset in_old dif_in dif_in1 typeset out_old dif_out dif_out1 in_old=$(cat /proc/net/dev | grep ...
ntp 网络攻击与解决方法(3种)
zyb378747350的专栏
06-19 6691
ntpd 网络攻击
NTP放大攻击笔记
u011975363的专栏
06-08 235
http://www.idccx.com/help/103.html https://blog.csdn.net/qq_32350719/article/details/88662306
被忽视的NTP安全
jklbnm12的博客
01-11 981
NTP(Network Time Protocol)网络时间协议是一种基于UDP的网络协议,它用于网络时间同步,使网络中的计算机时钟同步到世界协调时间 (UTC),再配合各个时区的偏移调整就能实现精准同步对时功能。NTP协议可广泛应用于各类设备或系统,对网络世界有着举足轻重的作用,但是在实际应用中却往往忽视了它的作用,甚至可能会带来一些危害。如影响业务系统运行,影响日志审计的真实性等。 一、相关案例 案例1 某单位新部署了一批服务器,运行一段时间后发现大部分Linux服务器时钟发生跳变。受影响的服务器每隔一
ddos源码 ntp_了解NTP DDOS攻击原理
weixin_34929072的博客
12-24 440
引言某业务的一台服务器遭受攻击,机房反馈是受到了UDP流量DDOS攻击。那么什么是UDP流量DDOS攻击呢?有必要了解一下。NTP流量DDOS攻击原理无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改...
NTP反射放大攻击(一)知识点扫盲
qq_32350719的博客
03-19 2908
NTP反射放大攻击知识点扫盲 什么是NTP服务 NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议 在计算机的世界里,时间非常地重要,例如对于火箭发射这种科研活动,对时间的统一性和准确性要求就非常地高,是按照A这台计算机的时间,还是按照B这台计算机的时间?NTP就是用来解决这个问题的,NTP(Network Time Protocol,网络...
NTP反射放大攻击漏洞
my的博客
12-08 1643
基于UDP协议的NTP(网络时间协议):使网络中各个计算机时间同步的一种协议用途:把计算机时钟调节到世界调节时UDP。
Windows NTP服务器配置教程:搭建与客户端同步详解
1. 登录到作为时间服务器的主机,通过gpedit.msc打开本地组策略编辑器,找到并启用"Windows Time Service",确保"时间提供程序"设置为启用NTP服务端,并将Windows Time服务设置为自动启动。 2. 接下来是客户端...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值