¿Qué es Ataque de amplificación NTP? Significado, definición y ejemplos

La amplificación NTP abusa de servidores Network Time Protocol mal configurados que responden a consultas de control — históricamente el comando MONLIST en ntpd anterior a 4.2.7 — con hasta 600 entradas de clientes recientes. Al enviar pequeñas consultas MONLIST con la IP del atacante suplantada por la de la víctima, se obtienen paquetes de respuesta unas 200–500× mayores que se reflejan a la víctima. Esta técnica impulsó algunos de los mayores ataques DDoS antes de 2016. Las defensas incluyen actualizar ntpd o restringir los comandos MONLIST y otros ("noquery"/"limited" en ntp.conf), validar las direcciones de origen (BCP 38), limitar la tasa de respuestas NTP y emplear servicios de scrubbing. Pese a ser conocido, aún hay servidores NTP vulnerables expuestos.

● Ejemplos

Un atacante envía una pequeña consulta MONLIST con la IP de la víctima falsificada; el servidor responde con kilobytes de datos de monitorización dirigidos a la víctima.

Cientos de servidores NTP públicos se usan en paralelo para enviar cientos de gigabits de tráfico reflejado a un objetivo.

● Preguntas frecuentes

¿Qué es Ataque de amplificación NTP?

Ataque DDoS por reflexión que abusa de los comandos MONLIST (y similares) de NTP para que los servidores respondan con paquetes muy grandes a una dirección de víctima falsificada. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

¿Qué significa Ataque de amplificación NTP?

Ataque DDoS por reflexión que abusa de los comandos MONLIST (y similares) de NTP para que los servidores respondan con paquetes muy grandes a una dirección de víctima falsificada.

¿Cómo defenderse de Ataque de amplificación NTP?

Las defensas contra Ataque de amplificación NTP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.