ntp服务器被反射放大攻击的处理方法

前言：

首先说明下什么是反射放到攻击？

NTP是用UDP传输的，所以可以伪造源地址。NTP协议中有一类查询指令，用短小的指令即可令服务器返回很长的信息。放大攻击就是基于这类指令的。比如，小明以吴一帆的名义问李雷“我们班有哪些人？” 李雷就回答吴一帆说“有谁谁谁和谁谁谁……”(几百字)那么小明就以8个字的成本，令吴一帆收到了几百字的信息，所以叫做放大攻击。网络上一般NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，即可给目标服务器带来几百上千Mbps的攻击流量，达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件，关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话)，所以没办法用作放大攻击。

下面阐述一下ntp服务器异常情况：

ntp服务器为物理服务器，内网和外网各一个网卡，直接接在接入交换机。

互联网流量高，通过查看交换机端口流量，发现 ntp服务器所连接的接入交换机端口流量异常，shutdown该端口，流量正常。下图为春节期间 互联网流量图

通过分析，

这次的黑客攻击总结起来有二点原因：

1.防火墙没有起作用，ACL策略有没有配置，暴漏于公网的主机必须限制访问网段；

2.驻地云有没有抗DDOS攻击的等相关安全设备，暴漏于公网的主机必须及时做安全加固；

解决方法：

被攻击的数据端口：UDP 123端口。一、加固NTP服务：1. 把NTP服务器升级2. 关闭现在NTP服务的 monlist 功能，在ntp.conf配置文件中增加“disable monitor”选项3. 在网络出口封禁 UDP 123 端口二、防御NTP反射和放大攻击1. 由于这种攻击的特征比较明显，所以可以通过网络层或者借助运营商实施ACL来防御2. 使用防DDoS设备进行清洗

以上解决方案，对于我来说：1、关闭现在NTP服务的 monlist 功能，在ntp.conf配置文件中增加“disable monitor”选项：实践证明这个方法是非常有效的！

2、在网络出口封禁 UDP 123 端口：因为很多设备需要向这台被攻击的服务器进行时钟同步，所以封禁UDP 123端口对我来说是不现实的。

3、通过网络层或者借助运营商实施ACL来防御：因为涉及生产系统，而且在不精通防火墙、交换机的情况下，没有考虑增加ACL规则策略来防御NTP攻击。

希望看到的同行们能给出更好的意见，欢迎你们给提供更好的解决方案！