首页 > 技术笔记 > [译]圣诞节后黑客发动了大规模NTP-Reflection Attacks

[译]圣诞节后黑客发动了大规模NTP-Reflection Attacks

2014年2月12日 发表评论 阅读评论

圣诞节后黑客发动了大规模NTP-Reflection Attacks(反射攻击)。

过去几周,Symantec发现了在互联网上NTP 反射攻击的显著增加。
NTP_Spike_0

NTP 是网络时间协议,他是一个相对模糊晦涩的协议,运行在UDP 123端口,用于服务器间基于网络的时间同步。如果你曾经在PC或者服务器上设置过时间服务器,是的,那就会有NTP连接。

NTP 是一个设置即忘记的协议,之所以这么说,是因为大部分管理员配置过一次后就不再担心他了。不幸的是,上面的情况也代表不经常升级的意思,以至于易受到反射攻击的利用。

NTP 反射攻击是如何工作的?

类似于DNS放大攻击,攻击者发送一个伪造的小包,请求会返回一个非常大的数据包到目标IP地址(这个地址是伪造的,一般是受害者)

这个场景中,攻击者利用monlist命令,monlist是一个远程命令,基于老版本的NTP,请求者发送此命令,会返回连到该NTP服务器的最后600台主机列表。对于攻击者来说,monlist查询是一个伟大的嗅探工具。通常这个命令是用于帮助建立一个本地网络的概况,然而,作为DDOS工具,他是再好不过了,因为一个小的查询会被返回一个兆字节的流量。

[root@server ~]# ntpdc -c monlist [hostname]

remote address          port local address      count m ver code avgint  lstint
===============================================================================
localhost.localdomain  53949 127.0.0.1              1 7 2      0      0       0
tock.usshc.com           123 xxx.xxx.xxx.xxx         1 4 4    5d0      0      53
198.52.198.248           123 xxx.xxx.xxx.xxx         1 4 4    5d0      0      54
rook.slash31.com         123 xxx.xxx.xxx.xxx       1 4 4    5d0      0      55
eightyeight.xmission.c   123 xxx.xxx.xxx.xxx         1 4 4    5d0      0      56

大部分扫描工具,比如NMAP,集成了monlist模块进行网络信息的收集,许多其他的工具,包括嗅探工具,都集成了monlist DDOS模块。

如何保护你的服务器?最简单的办法是升级NTP 到4.2.7,移除了monlist命令实体。如果不能选择升级,那需要在启动NTP进程前,设置NTP配置文件,启用noquery选项。这将禁止模式6,7的查询包访问(这里面包括monlist)

通过禁用monlist,或者升级NTP可以使monlist命令不再被包括其中,这不仅保护了你的网络,使你远离不想要的嗅探,而且也避免了在不经意间被DDOS攻击所利用。

翻译自 symantec hackers blog

分类: 技术笔记 标签:
  1. 2014年2月25日19:48 | #1

    顶超爷

  1. 本文目前尚无任何 trackbacks 和 pingbacks.