攻击与威胁
NTP 放大攻击
定义
利用 NTP 的 MONLIST 等命令实施的反射型 DDoS,使 NTP 服务器向伪造的受害者地址返回体积巨大的数据包。
NTP 放大攻击利用配置不当的 NTP 服务器对控制查询做出超大响应 —— 历史上以 4.2.7 之前的 ntpd 中的 MONLIST 命令最为典型,该命令最多返回 600 条最近客户端记录。攻击者将源 IP 伪造成受害者地址,发送小型 MONLIST 查询,引发约 200–500 倍的响应数据反射回受害者。该技术在 2016 年之前驱动了若干当时最大的 DDoS 攻击。防御包括升级 ntpd、在 ntp.conf 中通过 "noquery"/"limited" 等限制 MONLIST 与其它控制命令、做源地址验证(BCP 38)、对 NTP 响应限速,以及使用清洗中心。尽管这一问题广为人知,网络扫描中仍能发现易受攻击的 NTP 服务器。
示例
- 攻击者以受害者 IP 为源,发出一条小型 MONLIST 查询,服务器即向受害者返回数 KB 的监控数据。
- 数百台公共 NTP 服务器并行被利用,把数百 Gbps 的反射流量打到目标。
相关术语
DDoS 放大攻击
利用 UDP 服务对伪造请求返回远大于请求的应答,使小规模攻击者也能制造巨大的洪水流量的 DDoS 技术。
分布式拒绝服务攻击 (DDoS)
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
DNS 放大攻击
通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。
IP 欺骗
伪造网络数据包的源 IP 地址,以冒充其他主机、绕过过滤或放大拒绝服务攻击。
Smurf 攻击
向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。
Fraggle 攻击
Smurf 攻击的 UDP 变种,将伪造的 UDP echo 或 chargen 包发送到网络广播地址,使所有响应主机向受害者发起洪水流量。