什么是NTP服務(wù)?
網(wǎng)絡(luò)時間協(xié)議(Network Time Protocol)
- 用于本地系統(tǒng)時間與當(dāng)?shù)鼗ヂ?lián)網(wǎng)地區(qū)標準時間同步的協(xié)議
- 通過互聯(lián)網(wǎng)向其他計算機提供同步時間的服務(wù),保證用戶計算機系統(tǒng)時間為標準時間
- 通常NTP服務(wù)器使用的為UDP協(xié)議,使用的端口為123端口
既然是提供服務(wù),為什么會造成攻擊?
NTP分布式拒絕服務(wù)攻擊原理
*我們家庭網(wǎng)速通常為100M(兆)-200M(兆)的寬帶 *
下行速度大概在(20-40M左右)
請求一次NTP時間同步服務(wù)也只需要96Bit(比特位),大概是6個漢字的內(nèi)存(12B)
因此一次NTP服務(wù)請求,返回的數(shù)據(jù)包對寬帶影響可以忽略不計
但如果成千上萬次的請求,例如一個G的數(shù)據(jù)包大概需要10995116277次的請求就可以實現(xiàn)NtpDDoS攻擊
不去請求就不會被攻擊嗎?
并不是,黑客可以通過偽造手段來欺騙流量造成大量數(shù)據(jù)的攻擊
如下圖所示
1.黑客首先掃描全世界的開放了“123”端口的服務(wù)器列表(1.1.1.1-255.255.255.255)
2.過濾優(yōu)質(zhì)NTP服務(wù)器列表(延遲低的NTP服務(wù)器)
3.使用特定手段將“本機IP地址(黑客的電腦)"偽造成“目標IP地址"(受害者電腦)
4.使用受害者的IP地址對大量的NTP服務(wù)器請求NTP服務(wù)(同步系統(tǒng)時間)
5.NTP在接到請求會進行時間校準,將數(shù)據(jù)返回到"目標IP地址"(受害者)
如此一來我們就會受到莫名其妙的攻擊
防范策略
- 關(guān)閉容易收到攻擊的端口(80端口,3389端口)
- 利用防火墻策略屏蔽海外UDP流量(因為大部分NTP攻擊來源于海外)
- 不輕易暴露IP地址(訪問陌生網(wǎng)站,掃描不明二維碼,)
能看到這里,說明您已經(jīng)有實戰(zhàn)操作的想法了
