NTP-амплификация
Что такое NTP-амплификация?
NTP-амплификацияReflection-DDoS, эксплуатирующий команды MONLIST (и аналогичные) NTP: серверы отправляют очень крупные пакеты на подделанный адрес жертвы.
NTP-амплификация эксплуатирует неправильно настроенные серверы Network Time Protocol, отвечающие на управляющие запросы — исторически команду MONLIST в ntpd до 4.2.7 — списками до 600 недавних клиентов. Маленькие MONLIST-запросы с подменой источника на IP жертвы возвращают ответы примерно в 200–500 раз больше, которые отражаются жертве. Эта техника обеспечила одни из крупнейших DDoS-атак до 2016 года. Меры защиты: обновление ntpd, ограничение MONLIST и других команд («noquery»/«limited» в ntp.conf), фильтрация источников (BCP 38), ограничение скорости ответов NTP и услуги DDoS-scrubbing. Уязвимые NTP-серверы по-прежнему встречаются в публичных сканах.
● Примеры
- 01
Атакующий с подменой IP жертвы шлёт маленький запрос MONLIST; сервер отвечает килобайтами данных мониторинга прямо жертве.
- 02
Сотни публичных NTP-серверов используются параллельно, чтобы направить сотни Гбит/с отражённого трафика на цель.
● Частые вопросы
Что такое NTP-амплификация?
Reflection-DDoS, эксплуатирующий команды MONLIST (и аналогичные) NTP: серверы отправляют очень крупные пакеты на подделанный адрес жертвы. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает NTP-амплификация?
Reflection-DDoS, эксплуатирующий команды MONLIST (и аналогичные) NTP: серверы отправляют очень крупные пакеты на подделанный адрес жертвы.
Как защититься от NTP-амплификация?
Защита от NTP-амплификация обычно сочетает технические меры и операционные практики, как описано в определении выше.