携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第22天，点击查看活动详情

NTP 扩增

网络时间协议 （NTP） 是最古老的网络协议之一，连接 Internet 的计算机使用它来同步其时钟。除了时钟同步之外，旧版本的 NTP 还支持监视服务，使管理员能够查询给定的 NTP 服务器以获取流量计数。此命令称为“monlist”，它向请求者发送连接到查询服务器的最后 600 台主机的列表。

在最基本的NTP放大攻击类型中，攻击者反复向NTP服务器发送“get monlist”请求，同时将请求服务器的IP地址欺骗到受害者服务器的IP地址。NTP 服务器通过将列表发送到欺骗性 IP 地址来做出响应。

此响应比请求大得多，从而放大了定向到目标服务器的流量，并最终导致合法请求的服务降级。

攻击描述

NTP放大本质上是一种反射攻击。反射攻击涉及从服务器到欺骗性 IP 地址的响应。攻击者发送带有伪造IP地址（受害者的）的数据包，服务器回复该地址。

反射攻击是危险的。但是，当它们被放大时，它们甚至更加危险。在这种情况下，“放大”是指引发与发送的原始数据包请求不成比例的服务器响应。在NTP放大的情况下，这是指“monlist”的大小，而不是原始数据包的大小。

在典型的 DNS 放大中，查询大小与响应大小的比率为 70：1。这意味着控制 1 台 1Gbps 计算机的攻击者可以有效地将 70Gbps 的流量定向到目标服务器。

在 NTP 放大攻击中，查询与响应的比率介于 20：1 和 200：1 之间或更高。这意味着任何攻击者获取开放NTP服务器的列表（例如，通过使用Metasploit等工具或来自Open NTP项目的数据）都可以轻松生成破坏性的高带宽，高容量DDoS攻击。

缓解方法

与许多其他DDoS威胁一样，缓解NTP放大攻击具有挑战性，因为来自NTP服务器的响应表面上是来自有效服务器的合法流量。

此外，庞大的DDoS流量很容易压倒最具弹性的网络基础设施。因此，通过过度预配和流量筛选的组合来实现缓解。