什么是 NTP 反射放大攻击?
NTP是用UDP传输的,所以可以伪造源地址。
NTP协议中有一类查询指令,用短小的指令即可令服务器返回很长的信息。
放大攻击就是基于这类指令的。
网络上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,即可给目标服务器带来几百上千Mbps的攻击流量,达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件,关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话),所以没办法用作放大攻击。
网络时间协议(Network Time Protocl)。
通常NTP服务使用UDP 123 端口
如何防御
我们可以分为两种情况进行防御
加固 NTP 服务
1. 把 NTP 服务器觉得如果流量真的够大,400G?800G?或者升级到 4.2.7p26
2. 关闭现在 NTP 服务的 monlist 功能,在ntp.conf配置文件中增加`disable monitor`选项
3. 在网络出口封禁 UDP 123 端口
防御 NTP 反射和放大攻击
1. 由于这种攻击的特征比较明显,所以可以通过网络层或者借助运营商实施 ACL 来防御
2. 使用防 DDoS 设备进行清洗
如何防御 windows系统ntp协议的ddos攻击
DDoS攻击并不是新技术,该攻击方式最早可以追溯到1996年,2002年时在我国就已经开始频繁出现。在DDoS攻击发展的这十几年间,DDoS攻击也在不断变化。数据显示,最大规模的DDoS攻击峰值流量超过了240 Gbps,持续了13个小时以上。DDOS攻击下隐藏的是成熟的黑色产业链,黑客甚至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。DDoS的成本如此之低,而且日益简化没有了技术门槛,更没有管理制度。使得DDOS攻击在互联网上的肆虐泛滥,个人站长不可能时刻去更新网络配置去抵御DDOS。那么,站长们应该采取怎样的措施进行有效的防御呢?下面本文就介绍一下防御DDoS的基本方法。
方法/步骤
确保服务器系统的安全 首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。对于国外虚拟主机,像HostEase,BLueHost这些成熟的主机商这些都是必备的服务。
隐藏服务器真实IP 如果资金充足,可以选择高防主机,在服务器前端加CDN中转,所有的域名和子域名都使用CDN来解析。HostEase最新推出洛杉矶两款高防主机,内存高达32GB,硬盘1TB,目前正在特价促销中。
发送邮件要注意 服务器对外传送信息会泄漏IP,最常见的是,服务器不使用发送邮件功能。如果一定要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样显示出来的IP是代理IP。 不难发现服务器防黑最根本的措施就是隐藏IP,只要不泄露真实IP地址,10G以下小流量DDOS的预防还是非常简单的,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,使用高防主机才能确保网站安全。最后重要的事情再说一遍服务器的真实IP是需要隐藏的。
服务器被攻击报警有用吗?
现在的DDoS,基本都是流量型的,我接手的case都是这样。
很少有CC,CC太容易防御了,现在的云供应商,不少都送基础版WAF。
而且大多数网站都有熔断、缓存、CDN,CC不一定能找到很消耗资源的请求。
最好的办法就钱,花钱堆资源,推到攻击者无论怎么攻击多打不动,这样就会慢慢稳定下来,因为攻击多是要成本的,在攻击者打不
下来的时候也不会去打了,毕竟无利不起早没人愿意做赔本的生意。
治理DDOS的攻击主要以从源头开始,比如减少存在漏洞的NTP DNS服务器,在源地址检查避免IP欺骗,但是靠防护是不可能的。
DDOS的特点决定了,如果不在攻击时取证,证据很快就没了。因此要攻击者反复作案,才好抓。对一个被害人,只作案一次,或者随
机寻找被害人的情况,最难抓。
报警是肯定有用的,你不报警,警方没有线索,怎么抓人?
但是作用不可能立即体现,警方调查也是要时间的。但是指望报警来解决你现在的问题肯定是不行的。
0条大神的评论