NTP放大攻击研究发现

最新推荐文章于 2024-09-19 11:31:25 发布
最新推荐文章于 2024-09-19 11:31:25 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: 技术 文章标签: 安全 经验分享 其他 ddos ntp
文章由知柯®信安原创,转载请申明
本文链接:https://blog.csdn.net/qq_25879801/article/details/110749520
版权
本文介绍了NTP放大攻击的基本原理,这是一种利用NTP服务器将小请求转化为大响应的DDoS攻击形式。通过MONLIST命令,攻击者可以诱使NTP服务器向受害者的IP发送大量数据。作者进行了两个阶段的实验,扫描了特定IP范围,发现约2.76%的开放NTP端口服务器响应MONLIST命令,这意味着存在大量的NTP服务器可能被用于此类攻击。
摘要由CSDN通过智能技术生成

声明:

本文内容仅供学术研究,不作为违法乱纪使用,如有出现违规行为皆与作者、编辑、机构无关。

一、介绍

NTP放大攻击是DDOS的一种形式,它使用NTP服务器将小请求转换为大响应,然后将其定向到受害计算机。

NTP放大使用MONLIST命令。MONLIST命令指示NTP服务器使用使用该服务器的最后600个IP地址进行响应。通过欺骗MONLIST请求的源IP地址,它将使NTP服务器对欺骗的IP地址进行数据响应。您可以想象使用大量NTP服务器。如果所有邮件都发送了相同的MONLIST请求,其中欺骗者IP被欺骗为源地址,则可以将其用作DOS方法。

我显然不容忍这样做,但是尽管找到多少个NTP服务器可以放大数据很有趣。这绝不是一种新的攻击形式,因此您希望许多NTP服务器不响应MONLIST命令。这个怎么运作。

为了确定有多少NTP服务器响应MONLIST命令,我经历了两个单独的阶段。

阶段一 :

第一步是对UDP端口123(NTP端口)执行初始扫描。我使用以下命令使用masscan工具进行了此操作:

./masscan -pU:123 -oX ntp.xml --rate 160000 101.0.0.0-120.0.0.0

我的服务器只有很少的带宽,因此扫描速度很慢。因此,我选择仅在101.0.0.0-120.0.0.0地址范围上执行测试。范围是随机选择的。

扫描完成后,我将得到一个XML文件,其中包含已扫描并打开了端口123的所有设备。由于某种原因,我的masscan输出文件包含许多相同IP地址的重复条目。有时每个地址有100条记录。我创建了一个简单的python脚本,能够解析大型masscan输出文件,并删除所有重复的条目。该脚本将单个条目存储到名为port123.txt的文件中。

我用来执行此操作的脚本可以在下面找到:

from lxml import etree
port = None
address = None
parsedServers = []
#Opens the file used to store single enteries.
outputFile = open('port123.txt', 'a')
#Iterates through the masscan XML file.
for event, element in etree.iterparse('ntp.xml', tag="host"):
    for child in element:
        if child.tag == 'address':
            #Assigns the current iterations address to the address variable.
            address = child.attrib['addr']
        if child.tag == 'ports':
            for a in child:
                #Assigns the current iterations port to the port variable.
                port = a.attrib[
最低0.47元/天 解锁文章
知柯信安
关注
专栏目录
ntp-scanner:NTP扫描程序和“ monlist”检查器
05-12
NTP扫描仪 NTP扫描程序和“ monlist”检查器 安装(Debian) sudo apt-get install python-pip python-argparse ntp; sudo pip install ntplib iptools; 用法 python ntp-scanner.py [ARGS] -f, --file : specify input file -t, --target : specify specific host or subnet(cidr) --help : print this help 请安全使用:|
被忽视的NTP安全
jklbnm12的博客
01-11 1014
NTP(Network Time Protocol)网络时间协议是一种基于UDP的网络协议,它用于网络时间同步,使网络中的计算机时钟同步到世界协调时间 (UTC),再配合各个时区的偏移调整就能实现精准同步对时功能。NTP协议可广泛应用于各类设备或系统,对网络世界有着举足轻重的作用,但是在实际应用中却往往忽视了它的作用,甚至可能会带来一些危害。如影响业务系统运行,影响日志审计的真实性等。 一、相关案例 案例1 某单位新部署了一批服务器,运行一段时间后发现大部分Linux服务器时钟发生跳变。受影响的服务器每隔一
NTP服务支持monlist命令漏洞修复方案
zcb_data的博客
05-30 8785
    monlist命令可以用来获取当前活动IP。某些网络设备(比如家用路由器)预配置了一个确定的NTP Server,利用monlist就可以找到这些设备。NTP Server会泄露客户机的内网IP。利用该命令还可以进行DDOS攻击。     放大反射dos攻击由CVE-2013-5211所致。且这漏洞是与molist功能有关。Ntpd4.2.7p26之前的版本都会去响应NTP中的mode7“...
带你了解NTP放大攻击有什么特别之处
最新发布
2403_86998484的博客
09-19 321
与 DNS 洪水攻击不同,DNS 放大攻击反射并放大安全 DNS 服务器的流量,以便隐藏攻击的源头并提高攻击的有效性。NTP 放大攻击与 DNS 放大攻击非常相似,就好比是一个心怀恶意的青少年打电话给一家餐厅说“我要菜单上的东西每样来一份,请给我回电话并告诉我整个订单的信息”。然后,目标会收到来自餐厅的呼叫,接到他们未请求的大量信息。在这种攻击中,攻击者利用一种网络时间协议 (NTP) 服务器功能,发送放大的 UDP 流量,使目标网络或服务器不堪重负,导致正常流量无法到达目标及其周围基础设施。
NTP 相关信息整理 & DRDoS
这个博客,写给十年后的自己......
05-10 4901
部分参考自: 浅谈基于 NTP 的反射和放大攻击 这个是搭建服务器和一些讲解:NTP反射型DDos攻击FAQ/补遗 协议字段讲解 集美大学 关于警惕近期多发NTP反射放大攻击的预警通报 如何发现 NTP 放大攻击漏洞 NTP 工作原理详解 如何发现 NTP 放大攻击漏洞 Linux被DDOS&CC攻击解决实例 浅析各类DDoS攻击放大技术 NMAP扫描UDP123
NTP攻击
qq_73992463的博客
11-02 1070
NTP(Network Time Protocol)攻击是一种利用网络时间协议进行攻击的方式,旨在通过发送大量的NTP请求来超载目标服务器或网络,从而导致服务不可用或网络拥塞。我们将全面介绍NTP攻击,包括其定义、攻击方式、攻击架构、防护措施以及与其他攻击方式相比的优势和缺点。
NTP放大攻击
m0_60571990的博客
11-07 715
NTP放大攻击
ntp 网络攻击与解决方法(3种)
zyb378747350的专栏
06-19 6756
ntpd 网络攻击
NTP-Monlist-Amplification-Attack:演示NTP放大攻击
06-29
4. **监控网络流量**:持续监控网络流量,及时发现异常活动,一旦发现NTP放大攻击迹象,立即采取行动。 5. **DDoS防御系统**:部署专门的DDoS防御系统,可以检测并过滤掉放大攻击的流量。 6. **安全编程**:对于...
详解ddos攻击手段及防护防御手段_极品全面.zip
11-11
例如,NTP(网络时间协议)被滥用来进行放大攻击,一个小小的请求可以产生数千倍的回应流量。 针对DDoS攻击,有多种防御策略。一种是流量清洗,即通过设置专门的硬件或软件设备,在数据进入目标网络之前过滤掉异常...
网宿科技-中国互联网安全报告(2021年上半年)-25页.pdf
11-16
- NTP反射放大攻击成为新的攻击手法,占据攻击量的87.55%。 2. **Web应用攻击概览与趋势**: - Web应用攻击量在2021年上半年达到101.13亿次,比2020年同期增长2.39倍,显示出攻击手段的多样化。 - 政府行业不再...
如何发现 NTP 放大攻击漏洞
chengfangang的专栏
01-23 7458
NTP 漏洞相关的文章在 Drops 已经有过了,并且不止一篇,之所以又翻译了这一片文章,是觉得文章的整体思路很不错,希望对看这篇文章的你有所帮助。 BTW:本文翻译比较随意,但是并没有破坏原文含义。 0x00 简介 NTP 放大攻击其实就是 DDoS 的一种。通过 NTP 服务器,可以把很小的请求变成很大的响应,这些响应可以直接指向到受害者的电脑。 NTP 放大使用的是 MONLIST
DDOS中的NTP放大攻击危害为什么这么大,如何进行有效的防护
HoewDec的博客
05-17 1139
在1992 年3月,NTP v3版本RFC-1305问世,该版本总结和综合了NTP先前版本和DTSS,正式引入了校正原则,并改进了时钟选择和时钟滤波的算法,而且还引入了时间消息发送的广播模式,这个版本取代了NTP的先前版本。比如说德迅DDoS防护服务,是以省骨干网的DDoS防护网络为基础,结合自研的DDoS攻击检测和智能防护体系,向您提供可管理的DDoS防护服务,自动快速的缓解网络攻击对业务造成的延迟增加,访问受限,业务中断等影响,从而减少业务损失,降低潜在DDoS攻击风险。NTP的防御措施是怎么样的呢?
Kali Linux 网络扫描秘籍 第六章 拒绝服务(二)
热门推荐
龙哥盟
11-24 4万+
第六章 拒绝服务(二) 作者:Justin Hutchens 译者:飞龙 协议:CC BY-NC-SA 4.0 6.6 NTP 放大 DoS 攻击NTP 放大 DoS 攻击利用响应远程 monlist 请求的网络时间协议(NTP)服务器。 monlist 函数返回与服务器交互的所有设备的列表,在某些情况下最多达 600 个列表。 攻击者可以伪造来自目标 IP 地址的请求,并且
NTP反射放大攻击漏洞
my的博客
12-08 1995
基于UDP协议的NTP(网络时间协议):使网络中各个计算机时间同步的一种协议用途:把计算机时钟调节到世界调节时UDP。
修复NTP mode-6查询漏洞
weixin_36808034的博客
08-23 5880
客户进行漏洞扫描,暴漏出该漏洞,利用此漏洞可远程NTP服务器响应模式6查询。响应这些查询的设备有可能用于NTP放大攻击。未经身份验证的远程攻击者可能通过精心设计的模式6查询利用此漏洞,导致拒绝服务情况。修复建议:限制NTP模式6查询。漏洞级别:中级。
NTP反射型DDos攻击FAQ/补遗
weixin_33682719的博客
03-08 687
polestar · 2014/02/22 12:370x00 背景前两天,心伤的胖子发表了一篇《浅谈基于 NTP 的反射和放大攻击》我之所以又写一篇和NTP有关的文章,是因为前面有些东西没提,或说的不够清楚,浅陋之处,欢迎大家指正留言,我再求教改进。名词解释:ntp server :和原子钟同步同步,或以自己为标准时间的ntp服务器。ntp relay server:在/etc/ntp.conf...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

知柯信安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值